Gestión de la Seguridad de la Información Para el fin de preservar la información, se ha demostrado que no es suficiente la implantación de controles y procedimientos de seguridad realizados frecuentemente sin un criterio común establecido, en torno a la compra de productos técnicos y sin considerar toda la información esencial que se debe proteger . La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO / IEC 27000 , establece una implementación efectiva de la seguridad de la información empresarial desarrolladas en las normas ISO 27001 / ISO 27002. Los requisitos de la Norma ISO 27001 norma nos aportan un Sistema de Gestión de la Seguridad de la Información (SGSI), consistente en medidas orientadas a proteger la información , indistintamente del formato de la misma, contra cualquier amenaza, de forma que garanticemos en todo momento la continuidad de las actividades de la empresa. Los Objetivos del SGSI son preservar la:
Confidencialidad Integridad y Disponibilidad de la Información
Elementos o fases para la Implementación de un SGSI El Sistema de Gestión de La Seguridad de la Información que propone la Norma ISO 27001 se puede resumir en las siguientes fases que se detallan en la figura:
Beneficios de la Norma ISO 27001 Los riesgos de seguridad de la información representan una amenaza considerable para las empresas debido a la posibilidad de pérdida financiera o daño, la pérdida de los servicios esenciales de red, o de la reputación y confianza de los clientes.
La gestión de riesgos es uno de los elementos clave en la prevención del fraude online, robo de identidad, daños a los sitios Web, la pérdida de los datos personales y muchos otros incidentes de seguridad de la información. Sin un marco de gestión de riesgos sólida, las organizaciones se exponen a muchos tipos de amenazas informáticas. La nueva norma internacional ISO / IEC 27001 – seguridad de la información, ayudará a las organizaciones de todo tipo para mejorar la gestión de sus riesgos de seguridad de la información. Hoy en día, seguridad de la información está constantemente en las noticias con el robo de identidad, las infracciones en las empresas los registros financieros y las amenazas de terrorismo cibernético. Un sistema de gestión de seguridad de la información (SGSI) es un enfoque sistemático para la gestión de la información confidencial de la empresa para que siga siendo seguro. Abarca las personas, procesos y sistemas de TI. El diseño y la implementación de un SGSI (ISO / IEC 27001:2005) dará confianza a clientes y proveedores que la seguridad de la información se toma en serio dentro de la organización, estando a la vanguardia en la aplicación de la técnica de procesos para hacer frente a las amenazas de la información y a y los problemas de la seguridad.
Qué entendemos por Información en ISO 27001? Sin duda, gran parte de la Información de una empresa se encuentra en los sistemas informáticos, sin embargo, la Norma ISO 27001 define la información como:
La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en consecuencia una protección adecuada … … a información adopta diversas formas. Puede estar impresa o escrita en
papel, almacenada electrónicamente, transmitida por correo o por medios electrónicos, mostrada en video o hablada en conversación. Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene. Atendiendo a este concepto, ISO 27001 propone un marco de gestión de la seguridad de toda la información de la empresa, incluso si es información perteneciente al propio conocimiento y experiencia de las personas o sea tratada en reuniones etc. En este sentido las propias personas pueden ser tratadas en el SGSI como activos de información si así se cree conveniente.
Por tanto, no debemos centrar la atención solamente en los sistemas informáticos por mucho que tengan hoy en día una importancia más que relevante en el tratamiento de la información ya que de otra forma, podríamos dejar sin proteger información que puede ser esencial para la actividad de la empresa.
Implantando la Norma ISO 27001 A la hora de implantar un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma ISO 27001, debemos considerar como eje central de este sistema la Evaluación de Riesgos. Este capítulo de la Norma, permitirá a la dirección de la empresa tener la visión necesaria para definir el alcance y ámbito de aplicación de la norma, así como las políticas y medidas a implantar, integrando este sistema en la metodología de mejora continua, común para todas las normas ISO. Lo primero, es elegir una metodología de evaluación del riesgo apropiada para los requerimientos del negocio. Existen numerosas metodologías estandarizadas de evaluación de riesgos. Aquí explicaremos la metodología sugerida en la Norma. Las fases de esta metodología son los siguientes:
Método de Evaluación y Tratamiento del Riesgo
1.- Identificar los Activos de Información y sus responsables, entendiendo por activo todo aquello que tiene valor para la organización, incluyendo soportes físicos (edificios o equipamientos), intelectuales o informativas (Ideas, aplicaciones, proyectos …) así como la marca, la reputac ión etc. 2.- Identificar las Vulnerabilidades de cada activo: aquellas debilidades propias del activo que lo hacen susceptible de sufrir ataques o daños. 3.- Identificar las amenazas: Aquellas cosas que puedan suceder y dañar el activo de la información, tales como desastres naturales, incendios o ataques de virus, espionaje etc. 4.- Identificar los requisitos legales y contractuales que la organización está obligada a cumplir con sus clientes, socios o proveedores. 5.- Identificar los riesgos: Definir para cada activo, la probabilidad de que las amenazas o las vulnerabilidades propias del activo puedan causar un daño total o parcial al activo de la información, en relación a su disponibilidad, confidencialidad e integridad del mismo. 6.- Cálculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia del riesgo y el impacto que este tiene sobre la organización (Riesgo = impacto x probabilidad de la amenaza). Con este procedimiento determinamos los riesgos que deben ser controlados con prioridad. 7.- Plan de tratamiento del riesgo: En este punto estamos preparados para definir la política de tratamiento de los riesgos en función de los puntos anteriores y de la política definida por la dirección. En este punto, es donde seleccionaremos los controles adecuados para cada riesgo, los cuales irán orientados a : Asumir el riesgo Reducir el riesgo Eliminar el riesgo Transferir el riesgo
El ciclo de Deming, también conocido como círculo PDCA (de Edwards Deming), es una estrategia de mejora continua de la calidad en cuatro
pasos, basada en un concepto ideado por Walter A. Shewhart. También se denomina espiral de mejora continua. Es muy utilizado por los Sistemas de Gestión de Calidad (SGC). Las siglas, PDCA son el acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Los resultados de la implementación de este ciclo permiten a las empresas una mejora integral de la competitividad, de los productos y servicios, mejorando continuamente la calidad, reduciendo los costes, optimizando la productividad, reduciendo los precios, incrementando la participación del mercado y aumentando la rentabilidad de la empresa u organización.
Plan (Planificar) Establecer las actividades del proceso, necesarias para obtener el resultado esperado. Al basar las acciones para el resultado esperado, la exactitud y cumplimiento de las especificaciones a lograr se convierten también en un elemento a mejorar, aunque sería mejor ya no tener que mejorar, o sea, hacerlo bien a la primera. Cuando sea posible conviene realizar pruebas según sea requerido, para probar los resultados.
Recopilar datos para profundizar en el conocimiento del proceso. Detallar las especificaciones de los resultados esperados Definir las actividades necesarias para lograr el producto o servicio, verificando los requisitos especificados
Do (Hacer) Es ejecutar el plan estratégico lo que contempla: organizar, dirigir, asignar recursos y supervisar la ejecución.
Check (Verificar)
Pasado un periodo previsto de antemano, volver a recopilar datos de control y analizarlos, comparándolos con los requisitos especificados inicialmente, para saber si se han cumplido y en su caso, evaluar si se ha producido la mejora Monitorizar la implementación y evaluar el plan de ejecución documentando las conclusiones.
Act (Actuar) Con base a las conclusiones del paso anterior elegir una opción:
Si se han detectado errores parciales en el paso anterior, realizar un nuevo ciclo PDCA con nuevas mejoras.
Si no se han detectado errores relevantes, aplicar a gran escala las modificaciones de los procesos Si se han detectado errores insalvables, abandonar las modificaciones de los procesos Ofrecer una Retro-alimentación y/o mejora en la Planificación. SO/IEC 27002 ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management . Tras un periodo de revisión y
actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Publicada en España como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 (a la venta en AENOR). Otros países donde también está publicada en español son, por ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002), Uruguay (UNIT-ISO/IEC 27002) o Perú (como ISO 17799;
descarga gratuita). El original en inglés y su traducción al francés pueden adquirirse en iso.org. ISO/IEC 27002:2005. Dominios (11) , Objetivos de control (39) y Controles (133)
5. POLÍTICA DE SEGURIDAD. Establecer las Políticas de Seguridad de la Información es una de las acciones proactivas que ayudan a disminuir los riesgos y ayuda a establecer claramente los procesos en la administración de los activos informáticos y de la información que se gestiona a través de ellos. Actualmente se encuentra vigente una política aprobada en el 2005 y estando en proceso de aprobación la política denominada ICIC/PS –2012.
5.1 Política de seguridad de la información. Proporcionar la guía y apoyo de la Dirección para la seguridad de la información en relación a los requisitos del negocio y a las leyes y regulaciones relevantes. La Dirección debería establecer una política clara y en línea con los objetivos del negocio y demostrar su apoyo y compromiso con la seguridad de la información mediante la publicación y mantenimiento de una política de seguridad de la información para toda la organización.
Piense en términos de un manual o wiki de políticas de seguridad de la información que contenga un conjunto coherente e internamente consistente de políticas, normas, procedimientos y directrices. Determine la frecuencia de revisión de la política de seguridad de la información y las formas de comunicación a toda la organización. La revisión de la idoneidad y adecuación de la política de seguridad de la información puede ser incluida en las revisiones de la dirección. Cobertura de la política (es decir, porcentaje de secciones de ISO/IEC 27001/2 para las cuales se han especificado, escrito, aprobado y publicado políticas y sus normas, procedimientos y directrices asociadas. Grado de despliegue y adopción de la política en la organización (medido por auditoría, gerencia o auto-evaluación).
5.1.1 Documento de política de seguridad de la información. La Dirección debería aprobar y publicar un documento de la política de seguridad de la información y comunicar la política a todos los empleados y las partes externas relevantes. Control:
Posibles Soluciones a este control:
GESCONSULTOR
Plataforma no gratuita que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión. El portal web aporta información de libre disposición sobre S GSI, Esquema Nacional de Seguridad y otros marcos y políticas relevantes y cómo deben ser tratados.
GESCONSULTOR
ICIC
Modelo de Política de Seguridad de la Información para la Administración pública de Argentina, basado en ISO 27002. Establece directrices para cada uno de los controles.
Modelo Política - ICIC
BIS
Department for Business Innovation and Skills (apoyado por el Departamento de Industria y Comercio del Reino Unido) dispone de diversos documentos relacionados con la seguridad de la información, incluídas guías de desarrollo de políticas de seguridad y diversos checklists (inglés) con el objetivo de lograr la protección y desarrollo económico de las empresas.
Directorio BIS
CENTRO CRIPTOLOGICO NACIONAL
Los documentos CCN-STIC del Centro Criptológico Nacional español incluyen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las TIC en la Administración española.
Series CCN
DIRECTION CENTRALE DE LA SÉCURITÉ DES SI
Guía de redacción de políticas de seguridad de la información de la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa. Disponible en
Guía PSSI
español.
DMOZ
Proyecto abierto que ha recopilado a modo de directorio todo tipo de políticas de seguridad en diversas áreas
Miscelanea de diversas políticas
INFOSECWRITERS
Documento de libre descarga (inglés) que analiza las claves para la creación con éxito de una política de seguridad para Pequeñas y Medianas Empresas.
Guía Política PYME
ISACA
Muchas de las directrices de ISACA para auditores de sistemas de información son útiles también como apoyo para redactar políticas de seguridad.
Documentos ISACA
NIST
Guías de la serie 800 sobre d istintos aspectos técnicos de la seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar políticas.
Guías NIST
NOTICEBORED
Plantilla no gratuita y manual de políticas de seguridad de la información basado en ISO 27002.
Manual de Políticas
RSA Security Inc.
Guía de creación de una política de seguridad (inglés). Alojado en web de CCCure.org
Política RSA
Conjunto de plantillas de políticas de seguridad del SANS Institute (inglés)
Plantillas SANS
SANS INSTITUTE
Guía de desarrollo de una política de seguridad de la información (inglés).
Guía SANS
SENADO ESPAÑA
Normativa de uso de sistemas de información del Senado español como ejemplo de un despliegue de política.
SANS INSTITUTE
TREASURY BOARD OF CANADA SECRETARIAT
UCISA
UNIVERSIDAD TECNOLÓGICA NACIONAL
Política de Seguridad del Gobierno de Canadá.
Política Senado
Política TBCS (inglés) Política TBCS (francés)
Toolkit de la "Universities and Colleges Information Systems Association" del Reino Unido que agrupa a las más importantes Universidades de Reino Unido y que han generado políticas de seguridad de la información basadas en ISO 27001.
Toolkit UCISA
Política de Seguridad de la Universidad Tecnológica Nacional (Argentina). 50 páginas, en español.
Política UTN
5.1.2 Revisión de la política de seguridad de la información Control: La política de seguridad de la información se debería revisar a intervalos planificados (o en caso que se produzcan cambios significativos) para garantizar que es adecuada, eficaz y suficiente.
https://iso27002.wiki.zoho.com/06Organizacion.html http://www.iso27000.es/iso27000.html
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION. 6.1 Organización interna. Gestionar la seguridad de la información dentro de la Organización . Se debería establecer una estructura de gestión con objeto de iniciar y controlar la implantación de la seguridad de la información dentro de la Organización. El órgano de dirección debería aprobar la política de seguridad de la información, asignar los roles de seguridad y coordinar y revisar la implantación de la seguridad en toda la Organización. Si fuera necesario, en la Organización se debería establecer y facilitar el acceso a una fuente especializada de consulta en seguridad de la información. Deberían desarrollarse contactos con especialistas externos en seguridad, que incluyan a las administraciones pertinentes, con objeto de mantenerse actualizado en las tendencias de la industria, la evolución de las normas y los métodos de evaluación, así como proporcionar enlaces adecuados para el tratamiento de las incidencias de seguridad. Debería fomentarse un enfoque multidisciplinario de la seguridad de la información, que, por ejemplo, implique la cooperación y la colaboración de directores, usuarios, administradores, diseñadores de aplicaciones, auditores y el equipo de seguridad con expertos en áreas como la gestión de seguros y la gestión de riesgos. Reproduzca la estructura y tamaño de otras funciones corporativas especializadas, como Legal, Riesgos y Compliance.
Porcentaje de funciones/unidades organizativas para las cuales se ha implantado una estrategia global para mantener los riesgos de seguridad de la información por debajo de umbrales explícitamente aceptados por la dirección. Porcentaje de empleados que han (a) recibido y (b) aceptado formalmente, roles y responsabilidades de seguridad de la información.
6.1.1 Compromiso de la Dirección con la seguridad de la información. Control:
Los miembros de la Dirección deberían respaldar activamente las iniciativas de seguridad demostrando su claro apoyo y compromiso, asignando y aprobando explícitamente las responsabilidades en seguridad de la información de ntro de la Organización.
Posibles Soluciones a este control:
INTECO
ISO27001Security.com ANETCOM
NIST
Curso introductorio gratuito de 20h. a los Sistemas de Gestión de la Seguridad de la Información (SGSI) según la norma UNE-ISO/IEC 27001. Se dan a conocer los conceptos básicos necesarios para introducir al usuario en la gestión de la Seguridad de la Información, así como conocer la dimensión y alcance que suponen la implantación, certificación y mantenimiento de un SGSI en una organización, en base a la norma ISO/IEC 27001. Caso de estudio en inglés sobre el valor de negocio de ISO 27001. Guía de gestión estratégica de seguridad en la empresa. Publicada por Anetcom. Guía de seguridad de la información para gerentes (en inglés). Publicada por NIST.
Inteco.es
iso27001security Seguridad estratégica
NIST SP800-1
6.1.2 Coordinación de la seguridad de la información. Control:
Las actividades para la seguridad de la información deberían ser coordinadas por representantes que posean de cierta relevancia en su puesto y funciones y de los distintos sectores que forman la Organización. Posibles Soluciones a este control:
SISTESEG
Ministerio de Ciencia e Innovación
Ejemplo básico en español de política de organización de la seguridad de la información. Documento de creación del comité de seguridad de la información del Ministerio de Ciencia e Innovación de España.
SISTESEG
Comité de seguridad de la información
6.1.3 Asignación de responsabilidades relativas a la seguridad de la información. Control:
Se deberían definir claramente todas las responsabilidades para la seguridad de la información. Posibles Soluciones a este control:
ASIS International
Guía en inglés que analiza las responsabilidades, competencias y perfil profesional de un CSO (Chief Security Officer).
CCN
Guía de responsabilidades y funciones dentro del Esquema Nacional de Seguridad.
GesConsultor
INTECO
GesConsultor es una herramienta de pago (alquiler mensual) de gestión de SGSIs, que incluye un módulo de gestión de roles y responsabilidades del personal en materia de seguridad.
Guía de INTECO en español sobre la utilización de las tecnologías de la información en el ámbito laboral y sus consideraciones legales.
Chief Security Officer (CSO) Guideline CCN-STIC-801
GesConsultor
Guía Inteco
6.1.4 Proceso de autorización de recursos para el tratamiento de la información. Control:
Se debería definir y establecer un proceso de gestión de autorizaciones para los nuevos recursos de tratamiento de la información. Posibles Soluciones a este control:
FFIEC
CNI
CITICUS
Guía del FFIEC (Federal Financial Institutions Examination Council), en inglés, sobre cómo implantar un proceso de desarrollo y adquisición de TI eficaz en una organización. La acompaña una lista de verificación -checklist-, útil para auditar FFIEC D&A IT Handbook dicho proceso. NS/05: Seguridad en los sistemas de información y comunicaciones. Proceso de acreditación. Publicada por la Autoridad Delegada para la Seguridad de la Información Clasificada de España Citicus, empresa especialista en gestión del riesgo empresarial y en el cumplimiento dispone de una aplicación free para la gama de IOS de los dispositivos de Apple - iPhone, IPAD y el iPod touch.
NS/05
Aplicación para el análisis y gestión de riesgos Demostración en youtube
SpiceWorks
Spiceworks es una herramienta gratuita de gestión, monitorización y resolución de problemas de red, creación automática de mapas de red, helpdesk (gestión de tickets), inventario de HW y SW (descubrimiento automático, gestión de licencias...) y gestión de compras TI, entre otras funcionalidades, prevista para pequeñas y medianas empresas.
Spiceworks
6.1.5 Acuerdos de confidencialidad. Control: Se deberían identificar y revisar regularmente en los acuerdos aquellos requisitos de confidencialidad o no divulgación que contemplan las necesidades de protección de la información de la Organización. Posibles Soluciones a este control: MICROSOFT
Consideraciones a la hora de establecer cláusulas de confidencialidad en los contratos de los empleados.
LegalIT
Consideraciones legales sobre confidencialidad en la legislación argentina.
Acuerdos de confidencialidad Acuerdos de confidencialidad
6.1.6 Contacto con las autoridades. Control:
Se deberían mantener los contactos apropiados con las autoridades pertinentes. Posibles Soluciones a este control:
AGENCIA ESPAÑOLA PROTECCIÓN DATOS
La Agencia de Protección de Datos tiene por objetivo velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.
AGPD
Gobiernos europeos, así como empresas internacionales y agencias policiales como Interpol y Europol forman la alianza para combatir el cibercrimen
ALIANZA globalmente. “Alianza Internacional de Protección y Seguridad Cibernética” se INTERNACIONAL DE PROTECCIÓN Y encarga de mejorar la aplicación de la ley internacional, así como de proteger a SEGURIDAD CIBERNÉTICA las empresas y sus clientes de amenazas informáticas. El financiamiento para ICSPA provendrá de los gobiernos y de la misma Unión Eu ropea.
ICSPA
BIT-Policía Nacional
La Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía de España es la Unidad policial destinada a responder a delitos en el entorno de las nuevas tecnologías: pornografía infantil, estafas y fraudes por Internet, fraudes en el uso de las comunicaciones, ataques cibernéticos, piratería...
BIT
BSA
La piratería de software es la copia o distribución no autorizada de software con copyright. Puede hacerse copiando, descargando, compartiendo, vendiendo o instalando múltiples copias en ordenadores personales o de trabajo. Lo que mucha gente no advierte o no sabe es que cuando se compra software, realmente se está comprando una licencia para usarlo, no el software en sí. Esa licencia es la que le dice cuántas veces puede instalar el software, por lo que es importante leerla. Si hace más copias del software de las permitidas por la licencia, está pirateando.
BSA
CCN-CERT
CNPIC
CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). Este servicio se creó a principios de 2007 como CERT gubernamental español y está p resente en los principales foros internacionales en los que se comparte objetivos, ideas e información sobre la seguridad de forma global.
El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) es el órgano director y coordinador de cuantas actividades relacionadas con la protección de las infraestructuras críticas tiene encomendadas la Secretaría de Estado de Seguridad del Ministerio del Interior de España, a la que está adscrito. El principal objetivo es prestar una eficaz colaboración para mantener seguras las infraestructuras críticas españolas que proporcionan los servicios esenciales a la sociedad.
El GDT está creado para perseguir los delitos informáticos. Si Vd. identifica un problema de seguridad en la red, localiza un contenido ilícito o cree haber GUARDIA CIVIL - DELITOS detectado u observado una conducta que pudiera ser delictiva, puede INFORMÁTICOS comunicarlo al GDT. Todo lo que en ella se recibe es tratado con la máxima discreción.
CNI
CNPIC
Guardia Civil
INTECO
Guía de INTECO "Quién es quién en el sector de seguridad TIC en España". Relación de los principales actores involucrados en el sector d e la seguridad de la información en España que no intervienen en el intercambio comercial y que engloba desde aspec-tos como la formación, los diferentes tipos de agrupaciones, tanto de empresas como de profesionales, entes públicos o los medios de comunicación que difunden las noticias relacionadas con el s ector.
Quién es quién - Inteco
INTECO - CERT
INTECO tiene encomendadas a través del Plan Avanza las misiones de sentar las bases de coordinación de distintas iniciativas públicas en torno a la seguridad informática, impulsar la investigación aplicada y la formación especializada en el ámbito de la seguridad en el uso de las TIC y convertirse en el Centro de Referencia en Seguridad Informática a nivel nacional.
INTECO
INTECO-OSI
MISSION-MODE
PROTECCIÓN CIVIL
La "Oficina de Seguridad del Internauta" (OSI) es un servicio la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información puesto en marcha por INTECO, para proporcionar la información y el soporte necesarios para evitar y resolver problemas de seguridad al navegar por Internet. 15 Apps para gestión de crisis y desastres. Dirección General de Protección Civil y Emergencias de España.
SICHERHEITSTACHO
Este portal muestra estadísticas de alerta temprana mediante sensores de la red de Deutsche Telekom y partners.
UE CERT
Inventario con direcciones de contacto de los 200 Centros de Alerta Temprana de toda la Unión Europea.
OSI
15 Disaster and Crisis Apps Protección Civil Enlace
6.1.7 Contacto con grupos de especial interés. Control:
Se debería mantener el contacto con grupos o foros de seguridad especializados y asociaciones profesionales. Posibles Soluciones a este control:
ANTI PHISHING WORKING GROUP
El Grupo de Trabajo Anti-Phishing (APWG) es una organización internacional sin ánimo de lucro para la aplicación en entornos industriales y de cumplimiento de la ley con el objeto de eliminar el fraude, el crimen y el robo de identidad como resultado de las actividades de phishing, pharming, malware y suplantación de correo electrónico de cualquier tipo.
APWG
CWE
De alcance internacional y libre uso público, CWE ™ ofrece un conjunto unificado y medible de las debilidades de software que permite una más eficaz discusión, descripción, selección y uso de herramientas de seguridad de software y servicios que se podrían contener estas debilidades en su código fuente y los sistemas operativos. Permite una mejor comprensión y manejo de las debilidades de software relacionados con la arquitectura y el diseño.
CWE
ENISA
Mapa actualizado cada 6 meses con Inventario europeo de las "Brigadas digitales contra incendios" (Centros de Alerta Temprana) con un listado de 173 equipos de respuesta de emergencia.
ESET
Consejos de seguridad para el uso seguro del ordenador y de la información sensible y personal.
INTECO
Centros de Alerta Teprana UE
Alertas ESET
Guía de INTECO "Quién es quién en el sector de seguridad TIC en España". Relación de los principales actores involucrados en el sector d e la seguridad de la información en España que no intervienen en el intercambio comercial y que engloba desde aspectos como la formación, Quién es quién - Inteco los diferentes tipos de agrupaciones, tanto de empresas como de profesionales, entes públicos o los medios d e comunicación que difunden las noticias relacionadas con el sector.
LABORATORIOS INDEPENDIENTES DE EVALUACION ANTIVIRUS
En la selección de un buen AV se debe consultar a los laboratorios que están probando varios antivirus contra las últimas amenazas de malware y comprobar su actualización periódica. Varios enlaces a laboratorios disponibles.
Virus Bulletin - VB100 AV-TEST Institute AV Comparative
MCAFEE
Alertas de amenazas al Consumidor de McAfee le advertirá sobre las descargas más peligrosas, pop-ups y el spam sospechoso para que pueda mantenerse a la vanguardia de las actividades de delincuentes y mantener su PC y la información personal segura y protegida. Permite suscripción gratuita a las alertas.
McAfee Alerts
MICROSOFT
Centro de descargas de soluciones.
Download Center
La “Oficina de Seguridad del Internauta” (OSI) es un servicio del Gobierno
OFICINA DE SEGURIDAD DEL INTERNAUTA
SECURELIST
para proporcionar la información y el soporte necesarios para evitar y resolver los problemas de seguridad que pueden afectarnos al navegar por Internet. Nuestro objetivo es elevar la cultura de seguridad, prevenir, concienciar y formar proporcionando información clara y concisa acerca de la tecnología y el estado de la s eguridad en Internet. Al mismo tiempo impulsamos la detección y denuncia de nuevas amenazas en la red, de fraudes, estafas online o de cualquier otro tipo de ataque de Seguridad Informática. Información actualizada y muy completa sobre aquellas amenazas de Internet que están activas, y explica cómo evitarlas. El portal incluye
OSI
Kaspersky Alerts
diferentes secciones con artículos informativos y análisis, blogs, una enciclopedia de seguridad informática y descripciones de malware, así como un amplio glosario de términos.
SECURE DATABASE
Panel de información con las vulnerabilidades en productos y que se actualiza constantemente. La sección de herramientas permite consultar posibles soluciones de manera extensa y en materia de seguridad.
Dashboard y tools
6.1.8 Revisión independiente de la seguridad de la información. Control:
Se deberían revisar las prácticas de la Organización para la gestión de la seguridad de la información y su implantación (por ej., objetivos de control, políticas, procesos y procedimientos de seguridad) de forma independiente y a intervalos planificados o cuando se produzcan cambios significativos para la seguridad de la información. Posibles Soluciones a este control:
ISO27001security.com
ISO27001security.com
Guía y checklist de auditoría de un S GSI, conforme a ISO 27001. Está realizada por el ISO 27001 Implementer’s Forum.
Modelo de procedimiento, en inglés, para el establecimiento de un proceso de auditoría interna de un SGSI, conforme a ISO 27001. Es tá realizado por el ISO 27001 Implementer’s Forum.
ISMS Audit guideline
ISMS internal audit procedure
Microsoft Technet
La Herramienta de Evaluación de Seguridad de Microsoft (MSAT) es una herramienta gratuita, en español, diseñada para ayudar a las organizaciones de menos de 1.000 empleados a evaluar los puntos débiles de su entorno de seguridad de TI. Presenta un listado de cuestiones ordenadas por prioridad así como orientación específica para minimizar esos riesgos.
TechCenter de seguridad
Symantec
Symantec Small Business Check-up: herramienta gratuita en inglés de autoevaluación y benchmarking con 700 pymes de EMEA (Europa, Oriente Medio y África) para la seguridad de la información de pequeñas empresas.
Symantec Small Business Check-up
FFIEC
FFIEC
Guía en inglés del Federal Financial Institutions Examination Council para el establecimiento de un proceso eficaz de auditoría TI en una organización.
Diversas listas de verificación -checklists-, en inglés, del Federal Financial Institutions Examination Council, para auditar los procesos de planificación de continuidad de negocio, desarrollo y adquisición de TI, banca electrónica, seguridad de la información, outsourcing de TI, dirección y gestión de TI, operaciones TI, supervisión de proveedores TI, retail payment systems, wholesale payment systems y del propio proceso de auditoría TI.
FFIEC IT Audit booklet
FFIEC Audit of BC workprogram , FFIEC Audit of D_A workprogram , FFIEC Audit of e-banking workprogram , FFIEC Audit of IS workprogram , FFIEC Audit of IT outsourcing , FFIEC Audit of IT management workprogram , FFIEC Audit of IT operations workprogram , FFIEC Audit of IT providers
workprogram , FFIEC Audit of retail payment workprogram , FFIEC Audit of wholesale payment workprogram , FFIEC Audit of IT Audit workprogram GesConsultor
GesConsultor es una herramienta de pago (alquiler mensual) de gestión de SGSIs, que incluye un módulo de gestión de auditorías internas.
GesConsultor
6.2 Terceros. Mantener la seguridad de que los recursos de tratamiento de la información y de los activos de información de la organización sean accesibles por terceros .
La seguridad de la información de la organización y las instalaciones de procesamiento de la información no debería ser reducida por la introducción de un servicio o producto externo. Debería controlarse el acceso de terceros a los dispositivos de tratamiento de información de la organización. Cuando el negocio requiera dicho acceso de terceros, se debería realizar una evaluación del riesgo para determinar sus implicaciones sobre la seguridad y las medidas de control que requieren. Estas medidas de control deberían definirse y aceptarse en un contrato con la tercera parte. Haga inventario de conexiones de red y flujos de información significativos con 3as partes, evalúe sus riesgos y revise los controles de seguridad de información existentes respecto a los requisitos. ¡Esto puede dar miedo, pero es 100% necesario! Considere exigir certificados en ISO/IEC 27001 a los partners más críticos, tales como outsourcing de TI, proveedores de servicios de seguridad TI, etc. Porcentaje de conexiones con terceras partes que han sido identificadas, evaluadas en cuanto a su riesgo y estimadas como seguras.
6.2.1 Identificación de los riesgos derivados del acceso de terceros. Control:
Se deberían identificar los riesgos a la información de la organización y a las instalaciones del procesamiento de información de los procesos de negocio que impliquen a terceros y se deberían implementar controles apropiados antes de conceder el acceso. Posibles Soluciones a este control:
CISCO Cloud Security Alliance INTECO
Cisco ASP evaluation
Directrices proporcionadas por Cisco Systems para la evaluación de la seguridad de ASPs (Application Service Providers). Guía de seguridad de áreas críticas en cloud computing. Publicada por la Cloud Security Alliance y traducida al español.
Guía de seguridad en la nube
Guía para empresas de seguridad y privacidad en cloud c omputing. Publicada por Inteco en español y otros idiomas.
Guía de seguridad en la nube
6.2.2 Tratamiento de la seguridad en la relación con los clientes. Control:
Se deberían anexar todos los requisitos identificados de seguridad antes de dar a los clientes acceso a la información o a los activos de la organización. Posibles Soluciones a este control:
MICROSOFT
ADTest.exe es una herramienta de generación de carga del Active Directory que simula transacciones de clientes a un servidor host para evaluar el rendimiento de Microsoft® Active Directory™ para Microsoft® Windows® Server 2003 y Microsoft® Active
Active Directory Performance Testing Tool
Directory Application Mode™.
6.2.3 Tratamiento de la seguridad en contratos con terceros. Control:
Los acuerdos con terceras partes que implican el acceso, proceso, comunicación o gestión de la información de la organización o de las instalaciones de procesamiento de información o la adición de productos o servicios a las instalaciones, deberían cubrir todos los requisitos de seguridad relevantes. Posibles Soluciones a este control:
ISO27001Security
Modelo de política de seguridad para la externalización de servicios.
Outsourcing security policy
FFIEC
INTECO
Centro de Comercio Internacional
CNI
Guía del FFIEC (Federal Financial Institutions Examination Council), en inglés, sobre la externalización de procesos TI. La acompaña una lista de verificación -checklist-, útil para auditar dicho proceso. Modelo de contrato de confidencialidad y secreto para acuerdos entre empresas. En español y publicado por el INTECO.
Modelo en inglés de acuerdo de confidencialidad entre empresas.
FFIEC IT outsourcing booklet
Modelo contrato confidencialidad INTECO Acuerdo confidencialidad entre empresas
NS/06: Seguridad industrial. Condiciones específicas para el manejo de Información Clasificada en las actividades, contratos y programas clasificados en los que participen empresas. Publicada por la Autoridad Delegada para la Seguridad de la Información Clasificada de España
NS/06
7. GESTIÓN DE ACTIVOS. 7.1 Responsabilidad sobre los activos. Alcanzar y mantener una protección adecuada de los activos de la Organización Todos los activos deberían ser justificados y tener asignado un propietario. Se deberían identificar a los propietarios para todos los activos y asignarles la responsabilidad del mantenimiento de los controles adecuados. La implantación de controles específicos podría ser delegada por el propietario convenientemente. No obstante, el propietario permanece como responsable de la adecuada protección de los activos. El término “propietario” identifica a un individuo o entidad responsable, que cuenta con la aprobación del órgano de dirección, para el control de la producción, desarrollo, mantenimiento, uso y seguridad de los activos. El término “propietario” no significa que la persona disponga de los derechos de propiedad reales del activo.
Elabore y mantenga un inventario de activos de información (similar al preparado en su día para el Efecto 2000), mostrando los propietarios de los activos (directivos o gestores responsables de proteger sus activos) y los detalles relevantes (p. ej., ubicación, nº de serie, nº de versión, estado de desarrollo / pruebas / producción, etc.). Use códigos de barras para facilitar las tareas de realización de inventario y para vincular equipos de TI que entran y salen de las instalaciones con empleados. Porcentaje de activos de información en cada fase del proceso de clasificación (identificado / inventariado / propietario asignado / riesgo evaluado / clasificado / asegurado).
Porcentaje de activos de información claves para los cuales se ha implantado una estrategia global para mitigar riesgos de seguridad de la información según sea necesario y para mantener dichos riesgos en niveles aceptables.
7.1.1 Inventario de activos. Control:
Todos los activos deberían estar claramente identificados, confeccionando y manteniendo un inventario con los más importantes. Posibles Soluciones a este control:
Belarc
Belarc Advisor construye un perfil d etallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el explorador Web. Toda la información del perfil del PC se mantiene privada y no se envía a servidores de la web.
Belarc Advisor
Genos Open Source
GMF es una implementación de las recomendaciones ITIL (IT Infrastructure Library) para la gestión de servicios de TI (IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye módulos de gestión de incidencias (Trouble Ticketing ), gestión de inventario, gestión del cambio (Change Management ), SLA y reporting.
GMF - GenosOrg
GesConsultor
GesConsultor es una herramienta de pago (alquiler mensual) de gestión de SGSIs, que incluye un g estor centralizado de activos TI que permite el mapeo con su módulo de análisis de riesgos.
GesConsultor
GLPI
GLPI es una herramienta gratuita de inventario de activos TI, con funcionalidades de gestión de los mismos. Es integrable con OCS Inventory.
GLPI
OCS Inventory NG
OCS Inventory es una herramienta gratuita de creación automática de inventarios de HW, escaneo de red y distribución de paquetes de software.
OCS
SpiceWorks
Spiceworks es una herramienta gratuita de gestión, monitorización y resolución de problemas de red, creación automática de mapas de red, helpdesk (gestión de tickets), inventario de HW y SW (descubrimiento automático, gestión de licencias...) y gestión de compras TI, entre otras funcionalidades, prevista para pequeñas y medianas empresas.
Spiceworks
7.1.2 Propiedad de los activos.
Control:
Toda la información y activos asociados a los recursos para el tratamiento de la información deberían pertenecer a una parte designada de la Organización.
7.1.3 Acuerdos sobre el uso adecuado de los activos Control:
Se deberían identificar, documentar e implantar regulaciones para el uso adecuado de la información y los activos asociados a recursos de tratamiento de la información. Posibles Soluciones a este control:
INTECO
Guía de INTECO en español sobre la utilización de las tecnologías de la información en el ámbito laboral y sus consideraciones legales.
Guía Inteco TIC laboral
INTECO
Guía para proteger y usar de forma segura el teléfono móvil.
Guía INTECO teléfono móvil
DMOZ
Proyecto abierto que ha recopilado a modo de directorio todo tipo de políticas de seguridad en diversas áreas.
Miscelanea de diversas políticas
7.2 Clasificación de la información. Asegurar que se aplica un nivel de protección adecuado a la información. Se debería clasificar la información para indicar la necesidad, prioridades y nivel de protección previsto para su tratamiento. La información tiene diversos grados de sensibilidad y criticidad. Algunos ítems podrían requerir niveles de protección adicionales o de un tratamiento especial. Debería utilizarse un esquema de clasificación de la información para definir el conjunto adecuado de niveles de protección y comunicar la necesidad de medidas especiales para el tratamiento. ¡Mantenga la sencillez! Distinga los requisitos de seguridad básicos (globales) de los avanzados, de acuerdo con el riesgo. Comience quizás con la confidencialidad, pero no olvide los requisitos de integridad y disponibilidad. Porcentaje de activos de información en cada categoría de clasificación (incluida la de "aún sin clasificar").
7.2.1 Directrices de clasificación. Control:
La información debería clasificarse en relación a su valor, requisitos legales, sensibilidad y criticidad para la Organización Posibles Soluciones a este control:
CLUSIF
CNI
MEHARI 2010 : Guide de l’analyse des enjeux et de la classification
MEHARI
Directrices de clasificación y tratamiento de información en España. Publicadas por la Autoridad Delegada para la S eguridad de la Información Clasificada.
NS//04
7.2.2 Etiquetado y manipulado de la información. Control:
Se debería desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y tratamiento de la información, de acuerdo con el esquema de clasificación adoptado por la Organización. Posibles Soluciones a este control:
MICROSOFT
Esta solución está diseñada para ayudar y permitir a una organización identificar, clasificar y proteger los datos en sus servidores de archivos. Ejemplos de reglas y de clasificación ayudan a las organizaciones a crear e implementar sus políticas para proteger la información crítica.
Data Classification Toolkit
8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. 8.1 Antes del empleo. Seguridad en la definición del trabajo y los recursos
Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios. Las responsabilidades de la seguridad se deberían definir antes de la contratación laboral mediante la descripción adecuada del trabajo y los términos y condiciones del empleo. Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se deberían seleccionar adecuadamente, especialmente para los trabajos sensibles.
Los empleados, contratistas y usuarios de terceras partes de los servicios de procesamiento de la información deberían firmar un acuerdo sobre sus funciones y responsabilidades con relación a la seguridad. Conjuntamente con RRHH, asegure que se emplea un proceso de verificación de antecedentes proporcional a la clasificación de seguridad de aquella información a la que va a acceder el empleado a contratar. Dicho simplemente, el proceso de contratación de un administrador de sistemas TI debería ser muy diferente del de un administrativo. Haga comprobaciones de procedencia, formación, conocimientos, etc. Porcentaje de nuevos empleados o pseudo-empleados (contratistas, consultores, temporales, etc.) que hayan sido totalmente verificados y aprobados de acuerdo con las políticas de la empresa antes de comenzar a trabajar.
8.1.1 Funciones y responsabilidades. 8.1.1. Inclusión de la seguridad en las responsabilidades laborales Control:
Se deberían definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros en concordancia con la política de seguridad de la información de la organización. (Consultar también 5.1, 6.1.3) Posibles Soluciones a este control:
GesConsultor
GesConsultor es una herramienta de pago (alquiler mensual) de gestión de SGSIs, que incluye un módulo de gestión de roles y responsabilidades.
GesConsultor
8.1.2 Investigación de antecedentes. 8.1.2. Selección y política de personal Control:
Se deberían realizar revisiones de verificación de antecedentes de los candidatos al empleo, contratistas y terceros y en concordancia con las regulaciones, ética y le yes relevantes y deben ser proporcionales a los requerimientos del negocio, la clasificación de la información a la cual se va a tener acceso y los riesgos percibidos Posibles Soluciones a este control:
BSI SHOP
ASIS International
Código de buenas prácticas en inglés, publicado por BSI, relativo a la comprobación de antecendentes para empleados en entornos de seguridad. Guía en inglés de cómo realizar comprobaciones de antecedentes a la hora de contratar personal.
BS 7858:2006+A2:2009 Screening guideline
National Association of Professional Background Screeners
CNI
Elena Larrauri / James B. Jacobs
Asociación que proporciona opiniones relevantes a entidades legales estatales, nacionales e internacionales en relación a asuntos relacionados con la industria de selección y supervisión del personal. De origen EEUU existen capítulos en LatAm y Europa, entre otros países y regiones. NS/02: Seguridad en el personal. Habilitación de seguridad. Publicada por la Autoridad Delegada para la Seguridad de la Información Clasificada de España. Estudio legal sobre la solicitud de certificado de antecedentes penales a trabajadores en España.
NAPBS
NS/02
Artículo
8.1.3 Términos y condiciones de contratación. Control:
Como parte de su obligación contractual, empleados, contratistas y terceros deberían aceptar y firmar los términos y condiciones del contrato de empleo, el cual establecerá sus obligaciones y las obligaciones de la organización para la seguridad de información.
8.2 Durante el empleo. Seguridad en el desempeño de las funciones del empleo Asegurar que los empleados, contratistas y terceras partes son conscientes de las amenazas de seguridad, de sus responsabilidades y obligaciones y que están equipados para cumplir con la política de seguridad de la organización en el desempeño de sus labores diarias, para reducir el riesgo asociado a los errores humanos. Se debería definir las responsabilidades de la Dirección para garantizar que la seguridad se aplica en todos los puestos de trabajo de las personas de la organización. A todos los usuarios empleados, contratistas y terceras personas se les debería proporcionar un adecuado nivel de concienciación, educación y capacitación en procedimientos de seguridad y en el uso correcto de los medios disponibles para el procesamiento de la información con objeto de minimizar los posibles riesgos de seguridad. Se debería establecer un proceso disciplinario normal para gestionar las brechas en seguridad. La responsabilidad con respecto a la protección de la información no finaliza cuando un empleado se va a casa o abandona la organización. Asegure que esto se documenta claramente en materiales de concienciación, contratos de empleo, etc. Contemple la posibilidad de una revisión anual por RRHH de los contratos junto con los empleados para refrescar las expectativas expuestas en los términos y condiciones de empleo, incluyendo su compromiso con la seguridad de la información. Respuesta a las actividades de concienciación en seguridad medidas por (por ejemplo) el número de e-mails y llamadas relativas a iniciativas de concienciación individuales.
8.2.1 Responsabilidades de la Dirección. Supervisión de las obligaciones Control:
La Dirección debería requerir a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en concordancia con las políticas y los procedimientos establecidos de la organización.
8.2.2 Concienciación, formación y capacitación seguridad de la información. Control:
Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deberían recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo. Posibles Soluciones a este control:
AGPD
CCN-CERT
ENISA
ENISA
ENISA
INTECO
En esta página la Agencia Española de Protección de Datos pone a disposición de los ciudadanos información, consejos así como recursos y materiales para fomentar un uso seguro de Internet. CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). Dispone de cursos online públicos de formación en análisis de riesgos y Esquema Nacional de Seguridad, además de convocatorias de cursos presenciales y privados.
Documento en español publicado por ENISA (Agencia Europea de Seguridad de las Redes y de la Información) conteniendo plantillas de cuestionarios, con respuestas, sobre aspectos de seguridad de la información. ENISA ha producido material útil (clips de vídeo, ilustraciones, posters, salvapantallas) que hará que los empleados sean conscientes de los riesgos de seguridad de la información y recordarles las buenas prácticas. El material de ENISA están disponibles en distintos idiomas incluido el español para ser descargados y usados en cualquier programa de formación de seguridad de la información y en la actividad de sensibilización desde la web de la empresa. Material de capacitación para PYMES que puede ser utilizada por individuos o presentado en una sala de formación por los instructores que participan en el esfuerzo de su organización en temas de seguridad. Las guías de referencia de "formación de formadores" proporcionan información adicional y referencias externas para formadores y presentadores para utilizar durante el entrenamiento en concienciación de seguridad. Una forma de despertar el interés de los empleados por la seguridad de la información es formarles en aspectos que afectan a su uso privado de las TIC. Los manuales de INTECO pueden ayudar a preparar programas de formación sobre: qué es y cómo prevenir el sexting en adolescentes, seguridad y privacidad en la Web 2.0, seguridad y privacidad en comercio electrónico, uso de videojuegos por menores, uso seguro del DNI electrónico en Internet, configuración de privacidad y seguridad en las redes sociales, ciberbullying y grooming, protección de WI-FI en el hogar, protección y uso seguro del teléfono móvil, menores de edad en las redes sociales e Internet, cómo actuar ante ataques a la propia imagen en Internet, aspectos legales de la privacidad en Internet, etc.
Agencia Protección de Datos
CNI
ENISA
ENISA
ENISA
Manuales de seguridad Inteco
Curso introductorio gratuito de 20h. a los Sistemas de Gestión de la Seguridad de la Información (SGSI) según la norma UNE-ISO/IEC 27001. Se dan a conocer INTECO los conceptos básicos necesarios para introducir al usuario en la gestión de la Seguridad de la Información, así como conocer la dimensión y alcance que suponen la implantación, certificación y mantenimiento de un SGSI en una organización, en base a la norma ISO/IEC 27001. Cada vídeo presenta una lección sobre un tema de seguridad. Unos tienen un INFORMATION SECURITY enfoque generalista e introductorio y otros más específicos, incluso con cierto nivel de dificultad y en ese caso orientado a técnicos y especialistas. Al final de ENCYCLOPEDIA cada lección encontrarás un conjunto de preguntas que te servirán de autoevaluación.. ISO27001Security
ISQ
Kirkpatrick
LAMP Security
Concienciación para directivos: caso de estudio en inglés sobre el valor de negocio de ISO 27001. Formación en inglés sobre en qué consiste y cómo informar de Incidentes de seguridad. Sirve como modelo de formación útil a implantar internamente por una organización. IQS dispone de material diverso de demostración y tambien para su adquisición y traducción al español. El Modelo Kirkpatrick es una metodología ampliamente extendida de evaluación de la eficacia de acciones de formación. Previo registro, en este sitio se tiene acceso gratuito a información y herramientas sobre el modelo. El libro oficial es de pago (también traducido al español). LAMPSecurity training está diseñado mediante una serie de imágenes de máquinas virtuales vulnerables junto con la documentación complementaria diseñada para enseñar seguridad en linux, apache, php, mysql.
Lista recopilatoria de diversos juegos de simulación en gestión de servicios TI, Management Games and continuidad de negocio, gestión del riesgo, entre otros y para la formación en Simulations diferentes aspectos como toma de conciencia, organización del personal y roles a desempeñar en los diferentes casos.
Microsoft
Microsoft Security Awareness Toolkit: conjunto de herramientas en inglés de Microsoft para planificar, diseñar y desplegar un programa de concienciación en seguridad de la información en una organización.
Inteco.es
INTYPEDIA
iso27001security
ISQ
Kirkpatrick Partners
Descarga
Listado de soluciones
Microsoft Security Awareness Toolkit Technet
Portal en inglés con recursos, enlaces e ideas sobre concienciación en seguridad de la información.
mindfulsecurity
NIST
SP800-50: Guía para generar un plan de concienciación y formación en seguridad de la información publicado por el NIST (National Institute of Standards and Technology) de EEUU.
NIST SP800-50
NIST
SP800-16: Guía para un plan de formación basado en funciones y responsabilidades publicado por el NIST (National Institute of Standards and Technology) de EEUU. Va acompañado de 2 anexos: AppendixA-D y Appendix_E.
MindfulSecurity.com
NIST SP800-16 Appendix A-D Appendix E
NOTICEBORED
Wikipedia
Conjunto de herramientas y servicios de concienciación. En general, no gratuitas, aunque algunos elementos sí son de libre acceso. Enlaces a distintas plataformas de aprendizaje en línea (LMS: software instalado en un servidor, que se emplea para administrar, distribuir y controlar las actividades de formación no presencial o e-Learning de una institución.
NoticeBored
Learning Management systems
8.2.3 Proceso disciplinario. Control:
Debería existir un proceso formal disciplinario para empleados que produzcan brechas en la seguridad. Posibles Soluciones a este control:
SEINHE
Tribunal Supremo
derechoycambiosocial.com
INTECO
Consideraciones relativas al proceso disciplinario laboral en España.
Proceso disciplinario
Jurisprudencia del Tribunal Supremo español relativa al despido de trabajadores por uso inapropiado de medios informáticos. Hacer clic en el enlace e introducir en el ca mpo "Texto a buscar": 28079140012011100178 para la sentencia STS 1323/2011 y 28079140012007101065 para la sentencia STS 6128/2007.
Jurisprudencia Tribunal Supremo
Análisis de la sentencia STS 1323/2011 del Tribunal Supremo español. Despido_por_uso_indebido_de_internet.pdf Guía de INTECO en español sobre la utilización de las tecnologías de la información en el ámbito laboral y sus consideraciones legales.
Guía Inteco
8.3 Cese del empleo o cambio de puesto de trabajo. Garantizar que los empleados, contratistas y terceras personas abandonan la organización o cambian de empleo de forma organizada. Se deberían establecer las responsabilidades para asegurar que el abandono de la organización por parte de los empleados, contratistas o terceras personas se controla, que se devuelve todo el equipamiento y se eliminan completamente todos los derechos de acceso. Los cambios en las responsabilidades y empleos en la organización se deberían manejar, en el caso de su finalización en línea con esta sección, y para el caso de nuevos empleos como se describe en la sección 8.1. Véase Sección 7.1. La devolución de los activos de la organización cuando un empleado se marcha sería mucho más sencilla de verificar si el inventario de activos ha sido actualizado y verificado regularmente. Examine qué accesos necesita revocar en primer lugar cuando un empleado presenta su carta de dimisión: ¿cuáles son los sistemas más críticos o vulnerables?. Haga un seguimiento del uso del e-mail por estas personas antes de salir definitivamente de la empresa, por si comienzan a sacar información confidencial (sujeto a las políticas aplicables y a consideraciones legales sobre privacidad).
Porcentaje de identificadores de usuario pertenecientes a personas que han dejado la organización, separados por las categorías de activos (pendientes de desactivación) e inactivos (pendientes de archivo y borrado).
8.3.1 Responsabilidad del cese o cambio. Control:
Las responsabilidades para ejecutar la finalización de un empleo o el cambio de éste deberían estar claramente definidas y asignadas.
8.3.2 Devolución de activos. Control:
Todos los empleados, contratistas y terceros deberían devolver todos los activos de la organización que estén en su posesión a la finalización de su empleo, contrato o acuerdo. Guía:
El proceso de finalización debería estar formalizado para incluir el retorno previo de los software, documentos corporativos y equipos. Otros activos de la organización como dispositivos móviles de computo, tarjetas de crédito, tarjetas de acceso, manuales, software e información guardada en medios electrónicos, también necesitan ser devueltos. En casos donde el empleado, contratista o tercero compra el equipo de la organización o usa su propio equipo, se debería seguir procedimientos para asegurar que toda la información relevante es transferida a la organización y borrado con seguridad del equipo (consultar 10.7.1). En casos donde un empleado, contratista o tercero tiene conocimiento que es importante para las operaciones en curso, esa información debe ser documentada y transferida a la organización.
8.3.3 Retirada de los derechos de acceso. Control:
Se deberían retirar los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información a la finalización del empleo, contrato o acuerdo, o ser revisada en caso de cambio. Guía:
Tras la finalización, se deberían reconsiderar los derechos de acceso de un individuo a los activos asociados con los sistemas de información y a los servicios. Esto determinara si es necesario retirar los derechos de acceso. Los cambios en un empleo deberían reflejarse en la retirada de todos los derechos de acceso que no sean aprobados para el nuevo empleo. Los derechos de acceso deberían ser retirados o adaptados, incluyendo acceso físico y lógico, llaves, tarjetas de identificación, instalaciones del proceso de información (consultar 11.2.4), subscripciones y retirada de cualquier documentación que los identifica como un miembro actual de la organización. Si un empleado, contratista o usuario de tercero saliente ha sabido contraseñas para activos restantes de las cuentas, deberían ser cambiadas hasta la finalización o cambio del empleo, contrato o acuerdo. Los derechos de acceso para activos de información y equipos se deberían reducir o retirar antes que el empleo termine o cambie, dependiendo de la evaluación de los factores de riesgo como: a) si la finalización o cambio es iniciado por el empleado, contratista o usuario de tercero, o por la gerencia y la razón de la finalización; b) las responsabilidades actuales del empleado u otro usuario; c) el valor de los activos a los que se accede actualmente. Información adicional:
En ciertas circunstancias los derechos de acceso pueden ser asignados en base a la disponibilidad hacia más personas que el empleado, contratista o usuario de tercero saliente. En estas circunstancias, los individuos salientes deberían ser removidos de cualquier lista de grupos de acceso y se deben realizar arreglos para advertir a los demás empleados, contratistas y usuarios de terceros involucrados de no compartir esta información con l a persona saliente. En casos de gerencia terminada, contrariedad con los empleados, contratistas o usuarios de terceros pueden llevar a corromper información deliberadamente o a sabotear las instalaciones del procesamiento de información. En casos de renuncia de personal, estos pueden ser tentados a recolectar información para usos futuros.
9. SEGURIDAD FÍSICA Y DEL ENTORNO. 9.1 Áreas seguras. Evitar el acceso físico no autorizado, daños o intromisiones en las instalaciones y a la información de la organización. Los servicios de procesamiento de información sensible deberían ubicarse en áreas seguras y protegidas en un perímetro de seguridad definido por barreras y controles de entrada adecuados. Estas áreas deberían estar protegidas físicamente contra accesos no autorizados, daños e interferencias. La protección suministrada debería estar acorde con los riesgos i dentificados. El estándar parece centrarse en el CPD pero hay muchas otras áreas vulnerables a considerar, p. ej., armarios de cableado, "servidores departamentales" y archivos (recuerde: los estándares se refieren a asegurar la información, no sólo las TI). Examine la entrada y salida de personas a/de su organización. ¿Hasta dónde podría llegar el repartidor de pizza o el mensajero sin ser parado, identificado y acompañado? ¿Qué podrían ver, llevarse o escuchar mientras están dentro? Algunas organizaciones usan tarjetas de identificación de colores para indicar las áreas accesibles por los visitantes (p. ej., azul para la 1ª planta, verde para la 3ª, etc.; ahora, si ve a alguien con una identificación verde en la 4º planta, reténgalo). Asegúrese de retirar todos los pases de empleado y de visita cuando se vayan. Haga que los sistemas de acceso con tarjeta rechacen y alarmen ante intentos de acceso. Use pases de visita que se vuelvan opacos o muestren de alguna manera que ya no son válidos a las x horas de haberse emitido. Informes de inspecciones periódicas de seguridad física de instalaciones, incluyendo actualización regular del estado de medidas correctivas identificadas en inspecciones previas que aún estén pendientes.
9.1.1 Perímetro de seguridad física. Control:
Los perímetros de seguridad (como paredes, tarjetas de control de entrada a puertas o un puesto manual de recepción) deberían utilizarse para proteger las áreas que contengan información y recursos para su procesamiento. Posibles Soluciones a este control:
ASIS International
SISTESEG
Guía en inglés sobre medidas de seguridad física
ASIS Facilities Physical Security Measures Guideline
Ejemplo de política de seguridad física en español de SISTESEG
Política de seguridad física
9.1.2 Controles físicos de entrada. Control:
Las áreas de seguridad deberían estar protegidas por controles de entrada adecuados que garanticen el acceso únicamente al personal autorizado. (Consultar también 8.3.3) Posibles Soluciones a este control:
APC
INTECO
Documento técnico en inglés de APC sobre control de acceso físico a infraestructuras críticas
Acceso físico
Guía de INTECO y Anova sobre el uso de videovigilancia en distintos entornos, la legislación aplicable y sus implicaciones en materia de protección de datos personales.
Guía Inteco videovigilancia
9.1.3 Seguridad de oficinas, despachos e instalaciones. Control:
Se debería asignar y aplicar la seguridad física para oficinas, despachos y recursos. Posibles Soluciones a este control:
CNI
NS/03: Seguridad física de instalaciones de almacenamiento de información clasificada en la administración pública española. Publicada por la Autoridad Delegada para la Seguridad de la Información Clasificada de España.
NS/03
Oficina Nacional de Seguridad
OR-ASIP-01-01.02: Orientaciones para el plan de protección de una zona de acceso restringido. Oficina Nacional de Seguridad de Es paña.
OR-ASIP-01-01.02
Oficina Nacional de Seguridad
OR-ASIP-01-02.02: Orientaciones para la constitución de zonas de acceso restringido. Oficina Nacional de Seguridad de España.
OR-ASIP-01-02.02
9.1.4 Protección contra las amenazas externas y de origen ambiental.
Control:
Se debería designar y aplicar medidas de protección física contra incendio, inundación, terremoto, explosión, malestar civil y otras formas de desastre natural o humano.
(Consultar también 9.2.1) Posibles Soluciones a este control:
APC
Documento técnico en inglés de APC sobre protección contra incendios en infraestructuras críticas
APC
Diversos documentos técnicos de APC en inglés y español sobre refrigeración de CPDs
Uptime Institute
The Uptime Institute es una organización que publica estándares y mantiene un esquema de certificación para la mejora del grado de disponiblidad de centros de proceso de datos, basado en 4 niveles (Tier I, Tier II, Tier III y Tier IV).
APC: Extinción de incendios APC: Refrigeración
Uptime Institute Publications
9.1.5 Trabajo en áreas seguras. Control:
Se debería diseñar y aplicar protección física y pautas para trabajar en las áreas seguras.
9.1.6 Áreas de acceso público y de carga y descarga. Control:
Se deberían controlar las áreas de carga y descarga con objeto de evitar accesos no autorizados y, si es posible, aislarlas de los recursos para el tratamiento de la información. (consultar 9.2.1d) (consultar 7.1.1)
9.2 Seguridad de los equipos. Evitar la pérdida, daño, robo o puesta en peligro de los activos y interrupción de las actividades de la organización. Deberían protegerse los equipos contra las amenazas físicas y ambientales. La protección del equipo es necesaria para reducir el riesgo de acceso no autorizado a la información y su protección contra pérdida o robo. Así mismo, se debería considerar la ubicación y eliminación de los equipos. Se podrían requerir controles especiales para la protección contra amenazas físicas y para salvaguardar servicios de apoyo como energía eléctrica e infraestructura del cableado.
Haga que los vigilantes de seguridad impidan a cualquiera (empleados, visitas, personas de soporte TI, mensajeros, personal de mudanzas, etc.) sacar equipos informáticos de las instalaciones sin autorización escrita. Conviértalo en un elemento disuasorio visible mediante chequeos aleatorios (o, incluso, arcos de detección de metales). Esté especialmente atento a puertas traseras, rampas de carga, salidas para fumadores, etc. Tome en consideración el uso de códigos de barras para hacer los chequeos más eficientes. Número de chequeos (a personas a la salida y a existencias en stock) realizados en el último mes y porcentaje de chequeos que evidenciaron movimientos no autorizados de equipos o soportes informáticos u otras cuestiones de seguridad.
9.2.1 Emplazamiento y protección de equipos. Control:
El equipo debería situarse y protegerse para reducir el riesgo de materialización de las amenazas del entorno, así como las oportunidades de acceso no autorizado. Posibles Soluciones a este control:
APC
Documentos técnicos de APC en inglés y español sobre arquitectura de CPDs
APC
Documentos técnicos de APC en inglés sobre monitorización y control de CPDs
Uptime Institute
The Uptime Institute es una organización que publica estándares y mantiene un esquema de certificación para la mejora del grado de disponiblidad de centros de proceso de da tos, basado en 4 niveles (Tier I, Tier II, Tier III y Tier IV).
APC: arquitectura de CPDs
APC: Monitorízación de CPDs (1) APC: Monitorización de CPDs (2)
Uptime Institute Publications
TIA
Estándar de la Telecommunications Industry Association en inglés que establece requisitos para las infraestructuras de comunicaciones en centros de proceso de datos.
TIA-942
NFPA
NFPA 75 es el estándar de la National Fire Protection Association para la protección de equipos TI: construcción de edificios, protección anti-incendios, sistemas de extinción, sistemas eléctricos, refrigeración, etc. Versiones en inglés y en español.
NFPA 75
NFPA
NFPA 76 es el estándar de la National Fire Protection Association para la protección contra incendios de instalaciones de telecomunicaciones. Versiones en inglés y en español.
NFPA 76
NFPA
Larga lista de estándares relacionados con la seguridad contra el fuego de la National Fire Protection Association. Versiones en inglés y en español.
Normas NFPA
ANIXTER
Guía en inglés de la empresa Anixter sobre infraestructuras de centros de proceso de datos.
Data Center Guide
9.2.2 Instalaciones de suministro. Control:
Se deberían proteger los equipos contra fallos en el suministro de energía u otras anomalías eléctricas en los equipos de apoyo. Posibles Soluciones a este control:
APC
Documento técnico de APC con explicaciones sobre tipos de SAI (sistemas de alimentación ininterrumpida)
APC
Documentos técnicos de APC sobre alimentación eléctrica, SAIs, eficiencia, distintos tipos de cálculos, etc.
T2APP
Tipos de SAI Libros blancos de APC
Documento técnico de T2APP sobre problemas de suministro eléctrico, soluciones, cálculo de la carga, tipos de SAI (sistemas de alimentación ininterrumpida), mantenimiento de un SAI, etc.
SAI
9.2.3 Seguridad del cableado. Control:
Se debería proteger el cableado de energía y de telecomunicaciones que transporten datos o soporten servicios de información contra posibles interceptaciones o daños. Posibles Soluciones a este control:
TIA
Estándar de la Telecommunications Industry Association en inglés que establece requisitos para las infraestructuras de comunicaciones en centros de proceso de datos.
TIA-942
ANIXTER
Guía técnica en inglés de la empresa Anixter que resume el contenido de diferentes estándares de cableado de redes.
Cabling standards reference guide
ANIXTER
Guía técnica en inglés de la empresa Anixter de instalación de cableado de redes.
Installation pocket reference guide
ANIXTER
Guía técnica en inglés de la empresa Anixter de cableado de redes Telecommunications infrastructure for en plantas industriales. industrial premises
9.2.4 Mantenimiento de los equipos. Control:
Se deberían mantener adecuadamente los equipos para garantizar su continua disponibilidad e integridad. Posibles Soluciones a este control:
APC
CCleaner
System Ninja
Documento técnico de APC en español sobre mantenimiento preventivo de CPDs
APC: mantenimiento de CPDs
Herramienta para la limpieza de Windows. Protección en privacidad online and aporta rapidez y seguridad en los ordenadores.
Limpieza equipos
Herramienta para la limpieza de Windows eliminado todo tipo de archivos temporales como cachés de juegos, historiales, cookies, dumps de memoria, archivos abiertos recientemente. Dispone de funcionalidades extras como un administrador de procesos, un lector de hashes, información detallada sobre el hardware y un gestor de programas de inicio, útil para eliminar programas innecesarios que se cargan con Windows consumiendo recursos.
Limpieza equipos
9.2.5 Seguridad de los equipos fuera de las instalaciones. Control:
Se debería aplicar seguridad a los equipos que se encuentran fuera de los locales de la organización considerando los diversos riesgos a los que están expuestos. (Consultar también 11.7.1.). Posibles Soluciones a este control:
INTECO
Wikipedia
OSI
Symantec
Guía de Inteco para proteger y usar de forma segura el teléfono móvil
Consideraciones sobre Kensington lock para equipos portátiles
Consejos de seguridad para portátiles de la Oficina de Seguridad del Internauta.
Consejos de Symantec para la protección contra el robo de portátiles.
Guía INTECO K-Slot K-Slot Cerradura tubular OSI Laptop Security, Symantec
9.2.6 Reutilización o retirada segura de equipos. Control:
Debería revisarse cualquier elemento del equipo que contenga dispositivos de almacenamiento con el fin de garantizar que cualquier dato sensible y software con licencia se haya eliminado o sobrescrito con seguridad antes de la eliminación. (Consultar también 10.7.2). Posibles Soluciones a este control:
DARIK'S BOOT AND NUKE
Heidi-Eraser Hardwipe
Darik's Boot and Nuke ("DBAN") es una herramienta -gratuitaautoarrancable que permite hacer un borrado seguro del disco duro completo de un equipo (operación que no sería posible si se inicia el equipo con el sistema operativo instalado en ese mismo disco).
DBAN
Herramienta open source de borrado seguro.
Eraser
Herramienta gratuita de borrado seguro.
Guía sobre almacenamiento y borrado seguro de información: aborda cuestiones como por qué se debe controlar la información en la empresa, cómo se almacena dicha información en los dispositivos INTECO de almacenamiento más comunes, en qué consiste la recuperación en caso de pérdida y qué debe hacerse si se quiere eliminar de modo permanente la información. Disponible la guía completa en castellano e inglés y la reseña de la misma en catalán, euskera, gallego y valenciano. NATIONAL SECURITY AGENCY Los productos de estas listas reunen los requisitos especificos de la NSA para la desinfección, destrucción o eliminización de dispositivos que contengan información sensible o clasificada. La guía número 88 de la serie NIST SP800 ayuda a las organizaciones en la implementación de un programa de NIST sanitización de medios con las técnicas adecuadas y aplicables y los controles para la desinfección y eliminación teniendo en cuenta la clasificación de seguridad de la confidencialidad del sistema asociado.
Hardwipe
Guía INTECO
Guías NSA de destrucción
Guía NIST SP800-88
9.2.7 Retirada de materiales propiedad de la empresa. Traslado de Activos Control:
No deberían sacarse equipos, información o software fuera del local sin una autorización.
10. GESTIÓN DE COMUNICACIONES Y OPERACIONES. 10.1 Responsabilidades y procedimientos de operación. Asegurar la operación correcta y segura de los recursos de tratamiento de información. Se deberían establecer responsabilidades y procedimientos para la gestión y operación de todos los recursos para el tratamiento de la información. Esto incluye el desarrollo de instrucciones apropiadas de operación y de procedimientos de respuesta ante incidencias. Se implantará la segregación de tareas, cuando sea adecuado, para reducir el riesgo de un mal uso del sistema deliberado o por negligencia. Documente procedimientos, normas y directrices de seguridad de la información, además de roles y responsabilidades, identificadas en el manual de política de seguridad de la organización. Métricas de madurez de procesos TI relativos a seguridad, tales como el semiperiodo de aplicación de parches de seguridad (tiempo que ha llevado parchear al menos la mitad de los sistemas vulnerables -esta medida evita la cola variable provocada por los pocos sistemas inevitables que permanecen sin parchear por no ser de uso diario, estar normalmente fuera de la oficina o cualquier otra razón-).
10.1.1 Documentación de los procedimientos de operación. Control:
Se deberían documentar y mantener los procedimientos de operación y ponerlos a disposición de todos los usuarios que lo necesiten. (Consultar también 10.5, 11.5.4, 10.7.2, 10.7.3 y 10.10).
Posibles Soluciones a este control:
FFIEC
INFOSECWRITERS NATIONAL SECURITY AGENCY
Guía del FFIEC (Federal Financial Institutions Examination Council), en inglés, sobre la gestión de TI en una organización. La acompaña una lista de verificación -checklist-, útil para auditar dicho proceso. Guía práctica para el análisis y plan de respuesta a incidentes para ataques DoS de Denegación del Servicio. NSA desarrolla y distribuye guías para la configuración de una amplia variedad de software, tanto open source como propietario.
FFIEC IT management booklet
DoS! Denial of Service
Guías NSA de seguridad
10.1.2 Gestión de cambios operacionales. Control:
Se deberían controlar los cambios en los sistemas y en los recursos de tratamiento de la información. (Consultar también 12.5.1) Posibles Soluciones a este control:
Distribución de SW
Diversas herramientas de pago de distribución de paquetes de software en una red: Altiris, Enteo NetInstall, Microsoft System Center Configuration Manager.
Genos Open Source
GMF es una implementación de las recomendaciones ITIL (IT Infrastructure Library) para la gestión de servicios de TI ( IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye módulos de gestión de incidencias (Trouble Ticketing), gestión de inventario, gestión del cambio (Change Management ), SLA y reporting.
Solución para tomar un "snapshot" de nuestro sistema previo a la Microsoft Attack Surface instalación del software y tras la instalación, comparando ambas Analyzer para comprobar las modificaciones reales y posibles exposiciones y vulnerabilidades.
OCS Inventory NG
OCS Inventory es una herramienta gratuita de creación automática de inventarios de HW, escaneo de red y distribución de paquetes de software.
Altiris, Enteo, Microsoft SCCM
GMF - GenosOrg
MASA
OCS
10.1.3 Segregación de tareas. Control:
Se deberían segregar las tareas y las áreas de responsabilidad con el fin de reducir las oportunidades de una modificación no autorizada o no intencionada, o el de un mal uso de los activos de la organización. Posibles Soluciones a este control:
Requisitos mínimos de gestión, implementación y control de los BANCO CENTRAL DE LA riesgos relacionados con tecnología informática, sistemas de REPÚBLICA ARGENTINA información y recursos asociados para las entidades financieras.
Circular RUNOR 1 – 805
Ernst & Young
En este documento se plantea un enfoque práctico y basado en riesgos del cumplimiento con la segregación de funciones.
Documento de Enfoque
ISACA
La matriz de segregación de funciones ilustra las posibilidades de segregación potencial que se pueden aplicar.
ISACA
OBSERVE IT
SANS
Solución software que captura la actividad en cualquier sesión de usuario, incluidas terminales, escritorios remotos, Citrix, VMWare, VNC, NetOP y PC Anywhere. ObserveIT Xpress es una versión completamente free del producto ObserveIT, sin fecha de expiración. La versión free puede monitorizar monitorizar un máximo de 5 servidores.
ObserveIT Xpress
Artículo en el que se analizan los diferentes roles relevantes a la información clave de una organización, el grado de segregación recomendado y las razones para acometer esta segregación.
Sans
10.1.4 Separación de los recursos de desarrollo, prueba y operación. Control:
La separación de los recursos para el desarrollo, prueba y producción es importante para reducir los riesgos de un acceso no autorizado o de cambios al sistema operacional. (consultar 12.4.2) 12.4.2)
10.2 Gestión de la provisión de servicios por terceros. Implementar y mantener un nivel apropiado de seguridad de la información y de la prestación del servicio en línea con los acuerdos ac uerdos de prestación del servicio por terceros. La organización debería verificar la implementación de acuerdos, el monitoreo de su cumplimiento y gestión de los cambios con el fin de asegurar que los servicios que se ser prestan cumplen con todos los requerimientos acordados con los terceros. ¿Lo que recibe vale lo que paga por ello? Dé respuesta a esta pregunta y respáldela con hechos, estableciendo un sistema de supervisión de terceros proveedores de servicios y sus respectivas entregas de servicio. Revise periódicamente los acuerdos de nivel de servicio (SLA) y compárelos con los registros de supervisión. En algunos casos puede funcionar un sistema de premio y castigo. Esté atento a cambios que tengan impacto en la seguridad. Coste del tiempo de inactividad debido al incumplimiento de los acuerdos de nivel de servicio. Evaluación del rendimiento de proveedores inclu yendo la calidad de servicio, entrega, coste, etc.
10.2.1 Provisión de servicios. Control:
Se debería garantizar que los controles de seguridad, definiciones de servicio y niveles de entrega incluidos en el acuerdo de entrega de servicio externo sean implementados, operados y mantenidos por la parte externa. (Consultar también 6.2.1 6.2.1,, 6.2.3 6.2.3,, 6.1.5 6.1.5,, 10.2.2 10.2.2,, 12.5.5 12.5.5)). Posibles Soluciones a este control:
FFIEC
Kerala State
Guía del FFIEC (Federal Financial Institutions Examination Council), en inglés, sobre la externalización de procesos TI. La acompaña una lista de verificación -checklist-, útil para auditar dicho proceso. Ejemplos de peticiones de propuestas en los que se incluyen descripciones del servicio entregado y acuerdos de seguridad con terceros, así como, definiciones de servicio y aspectos de la gestión del servicio (en inglés).
FFIEC IT outsourcing booklet
Kerala State Wide Area Network Infrastructure Kerala State ISMS implantation
10.2.2 Supervisión y revisión de los servicios prestados por terceros. Control:
Los servicios, informes y registros suministrados por terceros deberían ser monitoreados y revisados regularmente, y las auditorías se deberían realizar a intervalos regulares. (Consultar también 6.2.1 6.2.1,, 6.2.3 6.2.3,, 6.1.5 6.1.5,, 10.2.1 10.2.1,, 12.5.5 12.5.5)). Posibles Soluciones a este control:
FFIEC
Genos Open Source
Guía del FFIEC (Federal Financial Institutions Examination Council), en inglés, para la adecuada supervisión de proveedores de servicios servicios TI. La acompaña una lista de verificación -checklist-, útil para auditar dicho proceso. GMF es una implementación de las recomendaciones ITIL (IT Infrastructure Library) para la gestión de servicios de TI (IT o ITSM). GMF es un producto de Service Management o software libre distribuido bajo licencia GPL e incluye módulos de gestión de incidencias (Trouble Ticketing ), gestión de inventario, gestión del cambio ( Change Management ), SLA y reporting.
FFIEC IT providers superivision superivision booklet
GMF - GenosOrg
10.2.3 Gestión del cambio en los servicios prestados por terceros. Control:
Se deberían gestionar los cambios en la l a provisión del servicio, incluyendo inclu yendo mantenimiento y mejoras en las políticas de seguridad de información existentes, en los procedimientos y los controles teniendo en cuenta la importancia de los sistemas y procesos del negocio involucrados, así como la reevaluación de los riesgos.
10.3 Planificación y aceptación del sistema.
Minimizar el riesgo de fallos en los sistemas. Se requiere una planificación y preparación avanzadas para garantizar la adecuada capacidad y recursos con objeto de mantener la disponibilidad disponibilida d de los sistemas requerida. Deberían realizarse proyecciones de los requisitos de capacidad en el futuro para reducir el riesgo de sobrecarga de los sistemas. Se deberían establecer, documentar y probar, antes de su aceptación, los requisitos operacionales de los nuevos sistemas. Adopte procesos estructurados de planificación de capacidad TI, desarrollo seguro, pruebas de seguridad, etc., usando estándares aceptados como ISO 20000 (ITIL) donde sea posible. Defina e imponga estándares de seguridad básica (mínimos aceptables) para todas las plataformas de sistemas operativos, usando las recomendaciones de seguridad de CIS, NIST, NSA y fabricantes de sistemas operativos y, por supuesto, sus propias políticas de seguridad de la información. Porcentaje de cambios de riesgo bajo, medio, alto y de emergencia. Número y tendencia de cambios revertidos y rechazados frente a cambios exitosos. Porcentaje de sistemas (a) que deberían cumplir con estándares de seguridad básica o similares y (b) cuya conformidad con dichos estándares ha sido comprobada mediante benchmarking o pruebas.
10.3.1 Gestión de capacidades. Control:
Se debería monitorizar el uso de recursos, así como de las proyecciones de los requisitos de las capacidades adecuadas para el futuro con objeto de asegurar el funcionamiento requerido del sistema. Posibles Soluciones a este control:
MICROSOFT
ADTest.exe es una herramienta de generación de carga del Active Directory que simula transacciones de clientes a un servidor host para evaluar el rendimiento de Microsoft® Microsoft® Active Directory™ para
Microsoft® Windows® Server 2003 y Microsoft® Active Directory Applicatio n Mode™.
Active Directory Performance Testing Tool
10.3.2 Aceptación del sistema. Control:
Se deberían establecer criterios de aceptación para nuevos sistemas de información, actualizaciones y versiones nuevas. Se deberían desarrollar las pruebas adecuadas del sistema durante el desarrollo y antes de su aceptación. (consultar 14.1)
10.4 Protección contra el código malicioso y descargable. Código Móvil. Proteger la integridad del software y de la información. Se requieren ciertas precauciones para prevenir y detectar la introducción de código malicioso y códigos móviles no autorizados. El software y los recursos de tratamiento de información son vulnerables a la introducción de software malicioso como virus informáticos, gusanos de la red, caballos de troya y bombas lógicas. Los usuarios deberían conocer los peligros que puede ocasionar el software malicioso o no autor izado y los administradores deberían introducir controles y medidas especiales para detectar o evitar su introducción. Combine controles tecnológicos (p. ej., software antivirus) con medidas no técnicas (educación, concienciación y formación). ¡No sirve de mucho tener el mejor software antivirus del mercado si los empleados siguen abriendo e-mails de remitentes desconocidos o descargando ficheros de sitios no confiables! Tendencia en el número de virus, gusanos, troyanos o spam detectados y bloqueados. Número y costes acumulados de incidentes por software malicioso.
10.4.1 Controles contra el código malicioso. Control:
Se deberían implantar controles de detección, prevención y recuperación contra el software malicioso, junto a procedimientos adecuados para la concienciación de los usuarios. (consultar 15.1.2) (consultar 13.1 y 13.2) (consultar 14)
Posibles Soluciones a este control:
ANUBIS
BITDEFENDER
Comodo
Servicio on-line para código malicioso (malware). Sube tu fichero Windows ejecutable y recibes un informe de análisis indicándote qué es lo que hace el fichero. Para el análisis de ficheros de Javascript y Flash prueba con Wepawet Enfocado en las amenazas cibernéticas activas, el producto usa sólo una parte de los recursos del sistema necesarios para un análisis de virus y no requiere de tiempo para la actualización de firmas de virus, ya que el proceso de detección es ejecutado en los servidores remotos de Bitdefender. Se puede acceder al servicio Quickscan desde cualquier PC conectado a Internet. No necesita instalar software, realizar actualizaciones o hacer tareas de configuración. Servicio de análisis automático de Malware en ficheros de cualquier tipo.
Anubis
Análisis Online
Enlace
EICAR
European Institute for Computer Antivirus Research dedicado a la seguridad TI y con actividad relevante en soluciones de Malware. Dispone de ficheros inócuos que permiten verificar si sus soluciones antimalware permanecen activas y eficaces.
Ficheros test Antimalware
ENISA
Utilizando aplicaciones maliciosas se puede acceder fácilmente a datos privados almacenados o procesados por los smartphones como emails confidenciales, datos de ubicación y geoposicionamiento, llamadas telefónicas, mensajes SMS, entre otros. Partiendo de un modelo de amenazas para la tiendas de aplicaciones, este documento identifica 5 líneas de defensa que deben estar establecidas para combatir el malware en las appstores.
Appstore security
EUREKA
GMER
Servicio de análisis automático de Malware en ficheros binarios de Windows.
Enlace
GMER es una aplicación que no necesita de instalación y que detecta y elimina código malicioso (rootkit) oculto mediante el escaneo de procesos, módulos, servicios, archivos, sectores de disco (MBR) y drivers que dependen de llamdas SSDT/IDT y IRP del sistema operativo (Windows NT/W2K/XP/VISTA/7).
GMER
Especificaciones para el etiquetado de software con el objeto de optimizar su identificación y gestión. (inglés)
ISO/IEC 190772:2009
El escáner de viruses de Jotti es un servicio online gratuito con el cual se puede revisar archivos sospechosos mediante diversos programas de antivirus. Los escáneres son de la version Linux y por eso posiblemente tendrán diferencias menores en comparación a los resultados de Windows. El tamaño máximo de los archivos es de 25MB. Favor de tener en cuenta que no habrá una detección de virus a 100%, tampoco en el caso que se usaría varios programas de antivirus (p.ej. este servicio de escáner).
Acceso Online
JSUNPACK
A Generic JavaScript Unpacker que permite analizar ficheros PDF, pcap, HTML, JavaScript y URL.
Acceso Online
KASPERSKY
Solución gratuita disponible desde Android Market que proporciona defensa antirobo, permitiendo bloquear, limpiar o encontrar tu teléfono perdido. Permite también filtrar fácilmente mensajes de texto SMS y llamadas no deseadas. Adicionalmente, el escaner Anti-Virus Lite alerta sobre aplicaciones potencialmente maliciosas antes de que dañen tu teléfono.
Kaspersky Mobile Security Lite
ISO
JOTTI
LABORATORIOS INDEPENDIENTES DE EVALUACION ANTIVIRUS
MICROSOFT
En la selección de un buen AV se debe consultar a los laboratorios que están probando varios antivirus contra las últimas amenazas de malware y comprobar su actualización periódica. Varios enlaces a laboratorios disponibles.
Virus Bulletin VB100 AV-TEST Institute AV Comparative
Microsoft Security Essentials proporciona protección en tiempo real contra virus, Microsoft Security spyware y otros tipos de software malintencionado para PCs. Essentials
MOBILE SANDBOX
Proporciona un fichero de una aplicación Android (apk-file) y Mobile-SandboxSystem analizará el fichero en busca de un comportamiento malicioso.
Enlace
NETCOP
NetCop en un servidor UTM con sistema operativo integrado. No requiere instalación de software en la parte del cliente. NetCop dispone de funcionalidades de filtrado de contenidos (Content filter), motor de cache (Cache Engine), protección contra Spam, Hotspot, control de ancho de banda. También protege tu red de amenazas del exterior como Virus, SPAM , Troyanos, entre otros.
NetCop UTM
NoVirusThanks ™ es un proyecto que se inició en junio de 2008 con el objetivo
NoVirusThanks
primordial de la creación de software y servicios relacionados con la seguridad informática y de Internet. Ofrecemos diversos servicios y software para la seguridad y ayudar a los usuarios a d efenderse de las amenazas de Internet.
Enlace a soluciones
PEEPDF
Python tool para explorar ficheros PDF y comprobar si puede provocar daños o no. Peedpf proporciona todos los componentes que un investigador necesita para el análisis de PDFs y posibilita ver todos los objetos de un documento mostrando elementos sospechosos en base al uso de la mayoría de los filtros y codificaciones, parseando diferentes versiones de un fichero, streams de objetos y cifrado de ficheros. Junto a la instalación de Spidermonkey y Libemu proporciona análisis de Javascript y shellcode adicionalmente. También es capaz de crear nuevos ficheros PDF y modificar los actuales.
peepdf
ROOTREPEAL
Aplicación que no necesita instalación con funcionalidades de: Driver Scan (kernel-mode drivers), Files Scan (ocultos, bloqueados o falseados), Processes Scan (en ejecución, ocultos o bloqueados), SSDT Scan (funciones adulteradas en el System Service Descriptor Table (SSDT)), Stealth Objects Scan (rootkits activos según ciertos síntomas típicos), Hidden Services Scan (servicios ocultos), Shadow SSDT Scan (similar a SSDT Scan pero centrado en funciones de interfaz gráfico). Sistemas operativos: Microsoft® Windows 2008 Server; Windows Vista®; Windows XP Professional or Home Edition; Windows 2000 with Service Pack 4; Windows 2003 Server (Nota: Only x86 versions of Windows are supported.).
ROOTREPEAL
VisSCAN
VIRUS TOTAL
VirSCAN.org es un servicio GRATUITO de escaneo en línea que chequea los archivos subidos usando los motores antivirus indicados en la lista VirSCAN. Luego de subir el archivo a chequear podés ver los resultados y lo peligroso o inofensivo que es este archivo. VirusTotal es un servicio de análisis de archivos sospechosos que permite detectar virus, gusanos, troyanos, y malware en general. Características: Servicio independiente y gratuito, Uso simultáneo de múltiples motores antivirus, Actualización automática de los motores en tiempo real, Resultados detallados por cada uno de los antivirus, Estadísticas globales en tiempo real
Acceso Online
VirusTotal
10.4.2 Controles contra el código descargado en el cliente. Medidas y controles contra código móvil. Control:
Cuando se autorice la utilización de código móvil, la configuración debería asegurar que dicho código móvil opera de acuerdo a una política de seguridad definida y se debería evitar la ejecución de los códigos móviles no autorizados. Se refiere a código que se descarga y ejecuta en el equipo con poca o ninguna intervención del usuario. Entrarían en esta categoría, p. ej., todo tipo de scripts (Java, VB...), macros, controles Active X, applets (Java, Flash...), etc.
10.5 Copias de seguridad. Gestión interna de soportes y recuperación. Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación. Se deberían establecer procedimientos rutinarios para conseguir la estrategia aceptada de respaldo (consultar 14.1) para realizar copias de seguridad y probar su puntual recuperación. Implante procedimientos de backup y recuperación que satisfagan no sólo requisitos contractuales sino también requisitos de negocio "internos" de la organización. Básese en la evaluación de riesgos realizada para determinar cuáles son los activos de información más importantes y use esta información para crear su estrategia de backup y recuperación. Hay que decidir y establecer el tipo de almacenamiento, soporte a utilizar, aplicación de backup, frecuencia de copia y prueba de soportes. Encripte copias de seguridad y archivos que contengan datos sensibles o valiosos (en realidad, serán prácticamente todos porque, si no, ¿para qué hacer copias de seguridad?). Porcentaje de operaciones de backup exitosas. Porcentaje de recuperaciones de prueba exitosas. Tiempo medio transcurrido desde la recogida de los soportes de backup de su almacenamiento fuera de las instalaciones hasta la recuperación exitosa de los datos en todas ubicaciones principales. Porcentaje de backups y archivos con datos sensibles o valiosos que están encriptados.
10.5.1 Copias de seguridad de la información. Recuperación de la información Control:
Se deberían hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, de acuerdo con la política acordada de recuperación. (consultar 9) (consultar 14) (consultar 15.1.3)
10.6 Gestión de la seguridad de las redes. Asegurar la protección de la información en las redes y la protección de su infraestructura de apoyo. La gestión de la seguridad de las redes, las cuales pueden cruzar las fronteras de la organización, exige la atención a los flujos de datos, implicaciones legales, monitoreo y la protección. Podrían ser necesarios controles adicionales con el fin de proteger la información sensible que pasa por las redes públicas. Prepare e implante estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS (detección y prevención de intrusiones), gestión de vulnerabilidades, etc. Número de incidentes de seguridad de red identificados en el mes anterior, dividido por categorías de leve / importante / grave, con análisis de tendencias y descripción comentada de todo incidente serio y tendencia adversa.
10.6.1 Controles de red. Control:
Se deberían mantener y controlar adecuadamente las redes para protegerlas de amenazas y mantener la seguridad en los sistemas y aplicaciones que utilizan las redes, incluyendo la información en tránsito. (Consultar también: 10.1.3, 11.4, 12.3) Posibles Soluciones a este control:
Cloud Cracker
Servicio de cracking de contraseñas para test de penetración y audtitores de red que necesitan chequear la securidad de protecciones WPA2-PSK en redes wireless, crack hashes o romper cifrados de documentos.
Servicio Cloud
CONTROLSCADA
FLINT
GoToManage
INTECO
ISO KISMAC KISMET
md5deep and hashdeep
NETWORKTOOLS
Recomendaciones de seguridad en inglés para redes inalámbricas.
Controlscada
Herramienta gratuita, en inglés, de localización de problemas de configuración en firewalls.
Matasano Flint
GoToManage es una herramienta de pago de gestión de inventario TI, monitorización de servidores y redes, soporte remoto, etc.
GoToManage
Guía para Pymes, en español, publicada por INTECO, sobre cómo proteger adecuadamente las redes inalámbricas (WI-FI). Las normas de la serie ISO/IEC 18028 están dedicadas a la seguridad en redes. Están siendo sustituidas paulatinamente por la normas ISO/IEC 27033. KisMAC es la versión para Mac OS X de KisMET. Kismet es un rastreador capaz de pasar la tarjeta Airport en modo monitor y detectar todas las redes inalámbricas disponibles en las cercanías, y controlar el tráfico que se realiza a través de ellas. Set de herramientas para comprobar el hash de los ficheros y su estado en relación a los originales para comprobar posibles alteraciones
Comandos básicos de red.
Guía Inteco protección WIFI ISO 27033 / ISO 18028 Kismac Kismet
md5deep y hashdeep
NetworkTools
NIPPER
Nipper (Network Infrastructure Parser) es una herramienta open source de configuración, auditoría y gestión de redes y dispositivos de red.
NIPPER
NMAP
Herramienta en inglés de exploración de redes y auditoría de seguridad. til para inventario de red, planificación de actualizaciones y monitorización de disponiblidad de servidores o servicios.
NMAP
NTOP
OSWA es una herramienta gratuita de de auditoría de seguridad de redes inalámbricas, bluetooth y RFID.
OSWA
OSWA
ntop es una sonda de tráfico de red que muestra el uso de la red de manera similar al comando Unix. ntop se basa en libpcap y se ha escrito para ejecutar prácticamente en todas las plataformas Unix y Win32.
ntop
Security Onion distro Linux para IDS (Detección de intrusiones) y NSM (Monitorización de la seguridad de la red). Está basada en Ubuntu y contiene Snort, Suricata, Bro, Sguil, Squert, Snorby, Xplico, NetworkMiner, entre otras muchas herramientas. Dispone de un menú de inicio rápido que permite construir sensores distribuidos para tu organización en minutos.
Main page
SPICEWORKS
Spiceworks es una herramienta gratuita de gestión, monitorización y resolución de problemas de red, creación automática de mapas de red, helpdesk (gestión de tickets), inventario de HW y SW (descubrimiento automático, gestión de licencias...) y gestión de compras TI, entre otras funcionalidades, prevista para pequeñas y medianas empresas.
Spiceworks
WIRESHARK
Uno de los analizadores de red más populares.
Wireshark
SECURITY ONION
10.6.2 Seguridad de los servicios de red. Control:
Se deberían identificar e incluir, en cualquier acuerdo sobre servicios de red, las características de seguridad, los niveles de servicio y los requisitos de gestión de todos los servicios de red, independientemente de que estos servicios sean provistos desde la propia organización o se contratan desde el exterior. Posibles Soluciones a este control:
The CENTER FOR INTERNET SECURITY
Cisco Router Audit Tool for Windows and Unix. Ability to score Cisco Router IOS, Ability to score Cisco PIX firewalls and Includes benchmark documents (PDF) for both Cisco IOS and Cisco ASA, FWSM, and PIX security settings. (inglés)
RAT Cisco
CISCO
This guide discusses the Cisco SAFE best practices, designs and configurations, and provides network and security eng ineers with the necessary information to help them succeed in designing, implementing and operating secure network infrastructures based on Cisco products and technologies. (inglés)
SAFE Cisco
Open-source host-based intrusion detection system (HIDS) provides file
SAMHAIM
integrity checking and log file monitoring/analysis, as well as rootkit detection, port monitoring, detection of rogue SUID executables, and hidden processes. Designed to monitor multiple hosts with potentially different operating systems (Unix, Linux, Cygwin/Windows).
SOURCEFORGE
Open Source Tripwire® software is a security and data integrity tool useful for monitoring and alerting on specific file change(s) on a range of s ystems. The project is based on code originally contributed by Tripwire, Inc. in 2000.
SOURCEFORGE
Advanced Intrusion Detection Environment. Host-based tool.
Samhain
Tripwire
AIDE
10.7 Manipulación de los soportes. Evitar la divulgación, modificación, retirada o destrucción de activos no autorizada e interrupciones en las actividades de la organización. Los medios deberían ser controlados y físicamente protegidos. Se deberían establecer los procedimientos operativos adecuados para proteger los documentos, medios informáticos (discos, cintas, etc.), datos de entrada o salida y documentación del sistema contra la divulgación, modificación, retirada o destrucción de activos no autorizadas . Asegure los soportes y la información en tránsito no solo físico sino electrónico (a través de las redes). Encripte todos los datos sensibles o valiosos antes de ser transportados. Porcentaje de soportes de backup o archivo que están totalmente encriptados.
10.7.1 Gestión de soportes extraíbles. Control:
Se deberían establecer procedimientos para la gestión de los medios informáticos removibles. Posibles Soluciones a este control:
CITICUS
Citicus, empresa especialista en gestión del riesgo empresarial y en el cumplimiento dispone de una aplicación free para la gama de IOS de los dispositivos de Apple - iPhone, IPAD y el iPod touch.
Aplicación para el análisis y gestión de riesgos Demostración en youtube
10.7.2 Retirada de soportes. Control:
Se deberían eliminar los medios de forma segura y sin riesgo cuando ya no sean requeridos, utilizando procedimientos formales. (Consultar también 9.2.6) Posibles Soluciones a este control:
INTECO
Guía sobre almacenamiento y borrado seguro de información: aborda cuestiones como por qué se debe controlar la información en la empresa, cómo se almacena dicha información en los dispositivos de almacenamiento más comunes, en qué consiste la recuperación en caso de pérdida y qué debe hacerse si se quiere eliminar de modo permanente la información. Disponible la guía completa en castellano e inglés y la reseña de la misma en catalán, euskera, gallego y valenciano.
Guía INTECO
NAID
NAID ® es la asociación internacional de empresas que prestan servicios de destrucción de la información. Enlace para localizar sus miembros de los distintos paises e información sobre normas, ética y auditorías de certificación de empresas.
naidonline.org
HEIDI-Eraser
Eraser es una herramienta gratuita para Windows de borrado seguro de soportes por sobreescritura de ficheros, soportes completos o espacios sin utilizar.
Eraser
Harwipe
DARIK'S BOOT AND NUKE
UCSDCSE
Herramienta gratuita de borrado seguro. Darik's Boot and Nuke ("DBAN") es una herramienta -gratuitaautoarrancable que permite hacer un borrado seguro del disco duro completo de un equipo (operación que no sería posible si se inicia el equipo con el sistema operativo instalado en ese mismo disco). Artículo de investigación sobre la no aplicabilidad de métodos tradicionales de borrado seguro en discos duros a discos SSD (de estado
Hardwipe
DBAN
Borrado de SSD
sólido).
Wikipedia
Información en inglés sobre tipos de destructoras de papel y referencia a la norma DIN 32757.
Destructoras de papel
AENOR
Norma UNE-EN 15713:2010: "Destrucción segura del material confidencial. Código de buenas prácticas." Establece requerimientos para la gestión y control de recogida, transporte y destrucción de material confidencial para su destrucción. Aplicable, principalmente a empresas que prestan servicio de recogida y destrucción de soportes (especialmente, papel).
UNE-EN 15713:2010
Resumen de requisitos expuestos en la norma EN 15713:2010: "Destrucción segura del material confidencial. Código de buenas prácticas." Editado por BSIA (Asociación británica de la industria de seguridad.
Explicación EN 15713
BSIA
Revista AyS
Artículo de introducción a la destrucción segura de soportes.
Artículo
10.7.3 Procedimientos de manipulación de la información. Control:
Se deberían establecer procedimientos para la manipulación y almacenamiento de la información con el objeto de proteger esta información contra divulgaciones o usos no autorizados o inadecuados. (Consultar también 7.2) Posibles Soluciones a este control:
INTECO
Guía sobre almacenamiento y borrado seguro de información: aborda cuestiones como por qué se debe controlar la información en la empresa, cómo se almacena dicha información en los dispositivos de almacenamiento más comunes, en qué consiste la recuperación en caso de pérdida y qué debe hacerse si se quiere eliminar de modo permanente la información. Disponible la guía completa en castellano e inglés y la reseña de la misma en catalán, euskera, gallego y valenciano.
Guía INTECO
10.7.4 Seguridad de la documentación del sistema. Control:
Se debería proteger la documentación de los sistemas contra accesos no autorizados. Posibles Soluciones a este control:
PATHLOCK
PathLock es una pequeña utilidad que permite tomar el control total de las acciones de los usuarios en cada ruta del sistema y decidir qué usuarios pueden cambiar el nombre de los directorios de archivos y carpetas o c rear archivos y carpetas. De este modo se puede proteger los datos contra daños o acciones no deseadas. Puede ocultar PathLock en cualquier lugar y no requiere instalación.
RCP Soft
10.8 Intercambio de información. Mantener la seguridad de la información y del software que se intercambian dentro de la organización o con cualquier entidad externa. Se deberían realizar los intercambios sobre la base de una política formal de intercambio, según los acuerdos de intercambio y cumplir con la legislación correspondiente (consultar cláusula 15). Se deberían establecer procedimientos y normas para proteger la información y los medios físicos que contienen información en tránsito. Estudie canales de comunicaciones alternativos y "pre-autorizados", en especial direcciones de email secundarias por si fallan las primarias o el servidor de correo, y comunicaciones offline por si caen las redes. El verificar canales de comunicación alternativos reducirá el estrés en caso de un incidente real. Porcentaje de enlaces de terceras partes para los cuales se han (a) definido y (b) implementado satisfactoriamente los requisitos de seguridad de la información.
10.8.1 Políticas y procedimientos de intercambio de información. Control:
Se deberían establecer políticas, procedimientos y controles formales de intercambio con objeto de proteger la información mediante el uso de todo tipo de servicios de comunicación. (consultar 10.4.1), (consultar 7.1.3), (consultar 12.3), (consultar 15), (consultar 10.3 y 14), (consultar 11) Posibles Soluciones a este control:
FIREFOX
ISO/IEC 27010
Complementos para navegador relacionados con la Privacidad y seguridad Proporciona controles y orientaciones relativas específicamente a iniciar, implementar, mantener y mejorar la seguridad de la información en las comunicaciones inter-organizacionales e intersectoriales.
Complementos FireFox
Compra y preview
Special Publication NIST 800-24
NIST
Análisis de vulnerabilidades para PBX (voz)
VIPER
VAST has been released with UCSniff 3.0 which includes GUI interface, VoIP video realtime monitoring, TFTP MitM modification of IP phone features, Gratuitous ARP disablement bypass support, and support for several compression codecs
VIPERVAST
WARVOX
WarVOX is a suite of tools for exploring, classifying, and auditing telephone systems.
WarVOX
10.8.2 Acuerdos de intercambio. Control:
Se deberían establecer acuerdos para el intercambio de información y software entre la organización y las partes externas. (consultar 15.1.2 y 15.1.4) (consultar 12.3) (consultar 10.8.3) Posibles Soluciones a este control:
TRUECRYPT
Free Open-Source Disk Encryption Software
TRUECRYPT
10.8.3 Soportes físicos en tránsito. Control:
Se deberían proteger los medios que contienen información contra acceso no autorizado, mal uso o corrupción durante el transporte fuera de los límites físicos de la organización. Posibles Soluciones a este control:
TRUECRYPT
ROHOS
Free Open-Source Disk Encryption Software Rohos Mini Drive es una aplicación gratuita que permite crear particiones con cifrado, ocultarlas y protegerlas con contraseña en cualquier unidad USB flash. Con los datos cifrados puede trabajar en cualquier ordenador aún sin derechos administrativos. El programa crea una partición protegida con el estándar AES 256 bits accesible sólo con la clave secreta que elijas.
Truecrypt
Rohos
10.8.4 Mensajería electrónica. Control:
Se debería proteger adecuadamente la información contenida en la mensajería electrónica. Posibles Soluciones a este control:
ALBALIA
Herramienta gratuita y genera firmas codificadas según el formato PKCS#7 o CMS (Cryptographic Message Syntax)
AlbaliaFirma
ELEFILE
FOCA
KRIPTOPOLIS
Metashield Protector
Sistema de intercambio cifrado de información adjunta a e-mails de forma gratuita de extremo a extremo y sin instalaciones de software en los extremos. Sólo es necesaria el alta gratuita del emisor del mensaje (no es necesaria la del receptor).
Servicio Online
Herramienta para por la extracción de metadatos en documentos públicos antes de proceder a su envío. La herramienta permite adicionalmente la realización de procesos de fingerprinting e information gathering en trabajos de auditoría web. La versión Free realiza búsqueda de servidores, dominios, URLs y documentos publicados, así como el descubrimiento de versiones de software en servidores y clientes.
Informática 64
Plataforma Wiki de Kriptópolis con una recopilación de herramientas de cifrado para programas de mensajería instantánea.
kriptowiki
La fuga de la información por medio de canales ocultos como son los metadatos y la información oculta en los documentos requiere que se comprueben todos los documentos antes de ser entregados a los clientes. Módulo para IIS 7 capaz de eliminar los metadatos de los documentos ofimáticos. De este modo con solo instalar este módulo todos los documentos accesibles públicamente a través de un portal no contendrán metadatos. MetaShield protector puede limpiar documentos de Microsoft Office de la versión 97 a la 2007, OpenOffice, Portable Document Format (pdf), wpd y jpg.
Metashield
10.8.5 Sistemas de información empresariales. Control:
Se deberían desarrollar e implementar políticas y procedimientos con el fin de proteger la información asociada con la interconexión de sistemas de información del negocio. (consultar 7.2), (consultar 6.2), (consultar 10.5.1), (consultar 14)
10.9 Servicios de comercio electrónico. Asegurar la seguridad de los servicios de comercio electrónico y de su uso seguro. Se deberían considerar las implicaciones de seguridad asociadas con el uso de servicios de comercio electrónico, incluyendo transacciones en línea y los requisitos para los controles. La integridad y disponibilidad de la información electrónica publicada a través de sistemas disponibles de publicidad deberían ser también consideradas. Trabaje estrechamente con las unidades de negocio para desarrollar un eBusiness seguro, incorporando requisitos de seguridad de la información en los proyectos, y con ello en los sistemas de eCommerce, desde el principio (también en cualquier cambio/actualización posterior). Insista en
el valor añadido de la seguridad en la reducción de riesgos comerciales, legales y operativos asociados al eBusiness. Trabaje los 3 aspectos clave de la seguridad: confidencialidad, integridad y disponibilidad "Estado de la eSeguridad", es decir, un informe sobre el nivel global de confianza de la dirección, basado en el análisis de los últimos tests de penetración, incidentes actuales o recientes, vulnerabilidades actuales conocidas, cambios planificados, etc..
10.9.1 Comercio electrónico. Control:
Se debería proteger la información involucrada en el comercio electrónico que pasa por redes publicas contra actividades fraudulentas, disputas por contratos y divulgación o modificación no autorizadas. (Consultar también: 12.3, 15.1, 15.1.6, 11.4.6, 12.3) Posibles Soluciones a este control:
Albalia
Herramienta gratuita y genera firmas codificadas según el formato PKCS#7 o CMS (Cryptographic Message Syntax)
AlbaliaFirma.zip
ENISA
Informe de ENISA, en inglés, sobre el uso de smart cards como medio de autenticación, frente a otros.
FFIEC
Guías del FFIEC (Federal Financial Institutions Examination FFIEC e-banking IT booklet, Council), en inglés, sobre banca electrónica, retail payment FFIEC retail payment systems IT systems y wholesale payment systems. Las acompañan booklet, FFIEC wholesale listas de verificación -checklists-, útiles para auditar dichos payment systems IT booklet procesos.
INTECO
Guía publicada por INTECO para empresarios acerca de los requisitos legales básicos que se deben cumplir a la hora de iniciar un negocio en Internet.
INTECO
Guía de INTECO sobre seguridad y privacidad en el Comercio Electrónico.
ISACA
Guía de ISACA sobre aspectos relevantes a riesgos y seguridad en el Comercio Electrónico vía dispositivos móviles.
ENISA report
Guía Inteco Guía Inteco seguridad comercio electrónico Mobile Payments
Información general sobre la Ley de Servicios de la Sociedad de
Ministerio de Industria, Turismo y la Información y de Comercio Electrónico (LSSI), que ha sido Comercio elaborada por la Secretaría de Estado de Telecomunicaciones y
OWASP
PCI Security Standards Council
para la Sociedad de la Información del Ministerio de Industria, Turismo y Comercio. La guía de desarrollo de OWASP (Open Web Application Security Project) ayuda a crear aplicaciones web seguras. Disponible también en español. PCI DSS (Payment Card Industry Data Security Standard) es un estándar internacional para la seguridad en los pagos mediante tarjeta de crédito.
Portal LSSI
OWASP Guide Project
PCI DSS
10.9.2 Transacciones en línea. Control:
Se debería proteger la información involucrada en el comercio electrónico que pasa por redes públicas contra actividades fraudulentas, disputas por contratos y divulgación o modificación no autorizadas. (Consultar también: 12.3, 15.1, 15.1.6, 11.4.6, 12.3) Posibles Soluciones a este control:
Albalia
Herramienta gratuita y genera firmas codificadas según el formato PKCS#7 o CMS (Cryptographic Message Syntax)
AlbaliaFirma.zip
ENISA
Informe de ENISA, en inglés, sobre el uso de smart cards como medio de autenticación, frente a otros.
FFIEC
Guías del FFIEC (Federal Financial Institutions Examination FFIEC e-banking IT booklet, Council), en inglés, sobre banca electrónica, retail payment FFIEC retail payment systems IT systems y wholesale payment systems. Las acompañan booklet, FFIEC wholesale listas de verificación -checklists-, útiles para auditar dichos payment systems IT booklet procesos.
INTECO
Guía publicada por INTECO para empresarios acerca de los requisitos legales básicos que se deben cumplir a la hora de iniciar un negocio en Internet.
INTECO
Guía de INTECO sobre seguridad y privacidad en el Comercio Electrónico.
ISACA
Guía de ISACA sobre aspectos relevantes a riesgos y seguridad en el Comercio Electrónico vía dispositivos móviles.
ENISA report
Guía Inteco Guía Inteco seguridad comercio electrónico Mobile Payments
Información general sobre la Ley de Servicios de la Sociedad de
Ministerio de Industria, Turismo y la Información y de Comercio Electrónico (LSSI), que ha sido Comercio elaborada por la Secretaría de Estado de Telecomunicaciones y
OWASP
PCI Security Standards Council
para la Sociedad de la Información del Ministerio de Industria, Turismo y Comercio. La guía de desarrollo de OWASP (Open Web Application Security Project) ayuda a crear aplicaciones web seguras. Disponible también en español. PCI DSS (Payment Card Industry Data Security Standard) es un estándar internacional para la seguridad en los pagos mediante tarjeta de crédito.
Portal LSSI
OWASP Guide Project
PCI DSS
10.9.3 Información públicamente disponible. Control:
Se debería proteger la integridad de la información que pone a disposición en un sistema de acceso público para prevenir modificaciones no autorizadas. (Consultar también 12.3 y 15.1.4) Posibles Soluciones a este control:
Albalia Interactiva
Informática 64
INTECO
INTECO
INTECO
Herramienta gratuita y genera firmas c odificadas según el formato PKCS#7 o CMS (Cryptographic Message Syntax) FOCA FREE es una herramienta para la realización de procesos de fingerprinting e information gathering en trabajos de auditoría web. La versión Free realiza búsqueda de servidores, dominios, URLs y documentos publicados, así como el descubrimiento de versiones de software en servidores y clientes. FOCA se hizo famosa por la extracción de metadatos en documentos públicos. Guía publicada por INTECO sobre seguridad de sitios web Junto con Wordpress y Drupal, Joomla! es uno de los gestores de contenidos más utilizados debido a su facilidad de instalación, posibilidad de personalización, etc. y que puede ser empleado en muy diversos ámbitos como el personal, para crear un blog por ejemplo; o el empresarial, para el desarrollo de una página web corporativa. Pero con independencia del uso que se le vaya a dar, el técnico que lleve a cabo la implementación debe ser consciente acerca de los aspectos de seguridad que se han de cubrir en la aplicación antes de llevar una instalación de este CMS a un entorno de producción. La guía analiza los conceptos de identidad digital y reputación online, describiendo los riesgos que existen en la gestión de la personalidad online del usuario, y el marco jurídico que protege a los ciudadanos. También ofrece una serie de pautas y recomendaciones de actuación dirigidas a c iudadanos y poderes públicos, con el objetivo de garantizar una correcta construcción de la identidad digital.
iScanner
iScanner es una herramienta libre que permite detectar y eliminar código malicioso de sitios web..
Mandiant
MANDIANT Web Historian ayuda a los usuarios a revisar la lista de URLs almacenadas en el historial de los navegadores más habituales, como Internet Explorer, Firefox y Chrome.
Microsoft SDL Quick Security References
UNMASK
AlbaliaFirma.zip
FOCA
Guía INTECO
Guía INTECO
Guía INTECO
iScanner
Mandiant WEB Historian
Guías que sirven de ayuda para una mejor comprensión y protección ante los ataques más habituales que puedan afectar a su software, Web sites y usuarios.
Quick References
Los hackers explotan las vulnerabilidades de seguridad en los sites de Internet más populares, tales como blogs, foros, CMS, galerías de imágenes y los wikis para insertar contenido ilícito oculto en páginas web de inocentes sitios Web de terceros. Miles de propietarios de sitios web n o son conscientes de que sus sitios son hackeados e infectados con parásitos. Herramienta para comprobar posibles infecciones en su sitio Web.
Unmask Parasites
10.10 Supervisión. Monitorización Detectar actividades de procesamiento de la información no autorizadas. Los sistemas deberían ser monitoreados y los eventos de la seguridad de información registrados. El registro de los operadores y el registro de fallos debería ser usado para garantizar la identificación de los problemas del sistema de información. La organización debería cumplir con todos los requerimientos legales aplicables para el monitoreo y el registro de actividades. El monitoreo del sistema debería ser utilizado para verificar la efectividad de los controles adoptados y para verificar la conformidad del modelo de política de acceso. El viejo axioma del aseguramiento de la calidad "no puedes controlar lo que no puedes medir o monitorizar" es también válido para la seguridad de la información. La necesidad de implantar procesos de supervisión es más evidente ahora que la medición de la eficacia de los controles se ha convertido en un requisito específico. Analice la criticidad e importancia de los datos que va a monitorizar y cómo esto afecta a los objetivos globales de negocio de la organización en relación a la seguridad de la información. Porcentaje de sistemas cuyos logs de seguridad (a) están adecuadamente configurados, (b) son transferidos con seguridad a un sistema de gestión centralizada de logs y (c) son monitorizados/revisados/evaluados regularmente. Tendencia en el número de entradas en los logs de seguridad que (a) han sido registradas, (b) han sido analizadas y (c) han conducido a actividades de seguimiento.
10.10.1 Registros de auditoría. Control:
Se deberían producir y mantener durante un periodo establecido los registros de auditoría con la grabación de las actividades de los usuarios, excepciones y eventos de la seguridad de información, con el fin de facilitar las investigaciones futuras y el monitoreo de los controles de acceso. (consultar 15.1.4) (consultar 10.1.3) Posibles Soluciones a este control:
La referencia rápida para habilitar auditoría en LINUX le permite registrar y hacer un seguimiento integral de acceso a los archivos, directorios y recursos de su LINUX Audit Quick Start sistema, así como de las llamadas del sistema. Le permite controlar el seguimiento de comportamientos irregulares o mal funcionamiento de las aplicaciones. Mediante la creación de un conjunto de normas que incluyen la auditoría de archivos y llamadas al sistema, usted puede asegurarse de que
Suse Linux Audit Quick Start
cualquier violación de sus políticas de seguridad queda registrada y localizada correctamente.
Q1LABS
SAMHAIN
SPLUNK
Solutions from Q1 Labs are quickly becoming the standard for centralized management of enterprise network and security information. The Samhain host-based intrusion detection system (HIDS) provides file integrity checking and log file monitoring/analysis, as well as rootkit detection, port monitoring, detection of rogue SUID executables, and hidden processes. Samhain been designed to monitor multiple hosts with potentially different operating systems, providing centralized logging and maintenance, although it can also be used as standalone application on a single host.
Splunk es una herramienta de monitorización y análisis de datos masivos procedentes de redes, aplicaciones, equipos, etc., que permite detectar y solucionar problemas e incidentes de seguridad c on rapidez.
Q1labs
Samhain
Splunk
10.10.2 Supervisión del uso del sistema. Control:
Se deberían establecer procedimientos para el uso del monitoreo de las instalación de procesamiento de información y revisar regularemente los resultados de las actividades de monitoreo. (Consultar 13.1.1) Posibles Soluciones a este control:
LIRE
Open Source software en entornos Linux/Unix para el análisis y generación de informes sobre los logs y que sirvan c omo nexo de mejora en la documentación, ideas y el uso de otras aplicaciones de mejora en el mantenimiento de los equipos.
Forja Logreport
Log2timeline
El principal propósito de la herramienta es proporcionar una única herramienta que inspeccione varios ficheros de logs (p.ej. de diversos sistemas y equipamiento de red) y generar una linea temporal que pueda ser analizada por los analistas y/o forenses.
Proyecto
LOGSURFER
Open Source software en entornos Linux/Unix para la monitorización de logs de sistemas en tiempo real e informe en los eventos registrados.
Forja Logsurfer
LOGWATCH
Logwatch es un sistema de análisis para entornos Linux de log personalizable que revisa los logs de los s istemas y los muestra en forma de informe por las áreas analizadas que se hayan especificado. Logwatch es de fácil uso y útil en la mayoría de los sistemas.
Forja Logwatch
MANDIANT
Mandiant dispone de una serie de herramientas gratuitas de monitorización y análisis de sistemas.
OBSERVE IT
Solución software que captura la actividad en cualquier sesión de usuario, incluso en Terminales, Remote Desktop, Citrix, VMWare, VNC, NetOP y PC Anywhere. ObserveIT Xpress es una versión completamente free sin tiempo
Mandiant
ObserveIT Xpress
límite de uso con un máximo de monitorización de 5 servidores.
OSSEC
Sistema de detección de intrusos (IDS) Open Source que realiza análisis de log, comprobación de integridad de ficheros, monitorización de políticas, detección de rootkits y respuesta con alerta activa en tiempo real. Disponible para la mayoría de sistemas opertativos, incluidos Linux, MacOS, Solaris, HP-UX, AIX y Windows.
OSSEC
PAGLO
Paglo es una herramienta bajo demanda que permite que las organizaciones puedan descubrir toda su información TI y obtener respuestas inmediatas a cuestiones relacionadas con sus ordenadores, redes y seguridad.
Paglo
PATRIOT NG
Patriot es una herramienta 'Host IDS' para la monitorización en tiempo real de cambios en sistemas Windows o ataques de red.
Website
RSYSLOG
Rsyslog es un programa de logging de mensajes que implementa el protocolo basico de syslog y lo extiende agregando filtros, con una configuración flexible. Tiene la capacidad de reenviar via UDP o TCP los mensajes del log a otra maquina.
Proyecto y descarga
SHINKEN
Herramienta que puede controlar desde sistemas TI hasta aplicaciones del usuario final. En el caso de detectarse fallos Shinken puede alertar a los responsables de operación para aplicar rápidamente actividades de gestión de incidentes. Tiene las mismas capacidades de Nagios ®, e incluso más avanzadas con funciones integradas tales como monitoreo de la disponibilidad con balanceo de carga alta. Proyecto Open Source disponible para diversos sistemas operativos.
Download
SNARE
El rango de herramientas 'Snare' para la recolección, análisis, informes y archivo de logs de eventos permite habilitar un completo sistema de monitorización y gestión.
InterSect Alliance
SNORT
Snort es una solución de detección y prevención de intrusiones en red (IDS/IPS) open source desarrollada por Sourcefire y que combina los beneficios de la inspección en firmas, protocolos y anomalías. Snort es una de las tecnologías IDS/IPS más ampliamente distribuidas a nivel mundial.
Snort
SPICEWORKS
Spiceworks es una solución completa para la monitorización e informes de la gestión de redes, helpdesk, inventario de PCs y de software que permite gestionar todo lo relacionado con TI en organizaciones PYME de medio y pequeño tamaño.
Spiceworks
SYSLOG-NG
Syslog-ng Open Source Edition™ es una sol ución para crear una infraestructura segura, confiable y flexible de gestión logs en las empresas. Inicialmente para entornos LINUX/UNIX dispone actualmente de integración con otros entornos como Windows y desde la versión Open Source se puede acceder a otras versiones más completas y profesionales.
Balabit solutions
UNIBLUE
Uniblue libre y la biblioteca en línea comprensiva de procesos está para cada uno que necesite saber la naturaleza y el propósito exactos de cada proceso que debe, y no deba, funcionar en su PC
Processlibrary
ZENOSS CORE
Software open source para la monitorización de aplicaciones, redes, servidores y muchos más.
Zenoss Communit
10.10.3 Protección de la información de los registros. Protección de los registros de incidencia. Control:
Se deberían proteger los servicios y la información de registro de la actividad contra acciones forzosas o accesos no autorizados. (consultar 13.2.3)
10.10.4 Registros de administración y operación. Control:
Se deberían registrar las actividades del administrador y de los operadores del sistema. Posibles Soluciones a este control:
OBSERVE IT
The software-based solution captures user activity in any user session, including Terminal, Remote Desktop, Citrix, VMWare, VNC, NetOP and PC Anywhere. ObserveIT Xpress is a completely free version of the ObserveIT product, with no time limit. The free version can monitor a maximum of 5 servers
ObserveIT Xpress
10.10.5 Registro de fallos. Control:
Se deberían registrar, analizar y tomar acciones apropiadas de las averías. Posibles Soluciones a este control:
SPLUNK
Web Help Desk
Splunk es una herramienta de monitorización y análisis de datos masivos procedentes de redes, aplicaciones, equipos, etc., que permite detectar y solucionar problemas e incidentes de seguridad c on rapidez. Web Help Desk es una herramienta de gestión de soporte a usuarios -incluyendo el registro de incidencias automático vía correo electrónico-, que dispone de una versión gratuita.
Splunk
Web Help Desk
10.10.6 Sincronización del reloj. Control:
Se deberían sincronizar los relojes de todos los sistemas de procesamiento de información dentro de la organización o en el dominio de seguridad, con una fuente acordada y exacta de tiempo. Posibles Soluciones a este control:
Servidores de hora NTP para todo el mundo Enlace con información completa de protocolos y enlaces
pool.ntp.org Wikipedia
11. CONTROL DE ACCESO.
11.1 Requisitos de negocio para el control de acceso. Controlar los accesos a la información. Se deberían controlar los accesos a la información, los recursos de tratamiento de la información y los procesos de negocio en base a las necesidades de seguridad y de negocio de la Organización. Las regulaciones para el control de los accesos deberían considerar las políticas de distribución de la información y de autorizaciones. Los propietarios de activos de información que son responsables ante la dirección de la protección "sus" activos deberían tener la capacidad de definir y/o aprobar las reglas de control de acceso y otros controles de seguridad. Asegúrese de que se les responsabiliza de incumplimientos, no conformidades y otros incidentes. Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios" adecuados han: (a) sido identificados, (b) aceptado formalmente sus responsabilidades, (c) llevado a cabo -o encargado- revisiones de accesos y seguridad de aplicaciones, basadas en riesgo y (d) definido las reglas de control de acceso basadas en roles.
11.1.1 Política de control de acceso. Control:
Se debería establecer, documentar y revisar una política de control de accesos en base a las necesidades de seguridad y de negocio de la Organización. (consultar también sección 9) (consultar 7.2) (consultar 15.1) (consultar 11.2.1) (consultar 11.2.4) (consultar 8.3.3)
11.2 Gestión de acceso de usuario. Garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los sistemas de información. Se deberían establecer procedimientos formales para controlar la asignación de los permisos de acceso a los sistemas y servicios de información. Los procedimientos deberían cubrir todas la etapas del ciclo de vida del acceso de los usuarios, desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su acceso a los sistemas y servicios de información. Se debería prestar especial atención, si fuera oportuno, a la necesidad de controlar la asignación de permisos de acceso con privilegios que se salten y anulen la eficacia de los controles del sistema. Cree la función diferenciada de "administrador de seguridad", con responsabilidades operativas para aplicar las reglas de control de acceso definidas por los propietarios de las aplicaciones y la dirección de seguridad de la información. Invierta en proporcionar al administrador de seguridad herramientas para realizar sus tareas lo más eficientemente posible. Tiempo medio transcurrido entre la solicitud y la realización de peticiones de cambio de accesos y número de solicitudes de cambio de acceso cursadas en el mes anterior (con análisis de tendencias y comentarios acerca de cualquier pico / valle (p. ej., "Implantada nueva aplicación financiera este mes").
11.2.1 Registro de usuario. Control: Debería existir un procedimiento formal de alta y baja de usuarios con objeto de garantizar y cancelar los accesos a todos los sistemas y servicios de información. (consultar 11.1) (consultar 10.1.3) (consultar 11.2.4) Posibles Soluciones a este control:
Mc Graw Hill
Documento con modelos y técnicas de control de accesos (inglés)
http://shop.osborne.com
11.2.2 Gestión de privilegios. Control:
Se debería restringir y controlar la asignación y uso de los privilegios. (consultar 11.1.1) Posibles Soluciones a este control:
Solución web (free trial 30 days) que permite realizar las tareas más comunes, como las altas y bajas de Manageengine.co Manageengine usuarios y la aplicación de políticas de grupo, a través de un interfaz intuitivo y fácil de aprender. A través m de sus informes detallados, ofrece visibilidad completa sobre todos los objetivos en el Directorio Activo.
Soft tree
Pangolin
DB Audit is a complete out-of-the-box database security & auditing solution for Oracle, Sybase, MySQL, DB2 and MS SQL Server. DB Audit allows database and system administrators, security administrators, auditors and operators to track and analyze any database activity including database access and usage, data creation, change or deletion; mananage database users; quickly discover uprotected PCI and PII data; enforce SOX, PCI/CISP, HIPAA, GLBA compliance; and more.
DB Audit
Once it detects one or more SQL injections on the target host, the user can choose among a variety of options to perform an extensive back-end database management system fingerprint, retrieve DBMS session user and database, enumerate users, password hashes, privileges, databases, dump entire or Pangolin audit tool user’s specific DBMS tables/columns, run his own SQL statement, read specific files on the file system and
more.
idesicions
UserLock® permite proteger el acceso a las redes de Windows®, impidiendo las conexiones simultáneas, al dar la posibilidad de limitar las conexiones de los usuarios y proporcionando a los administradores el control remoto de las sesiones, de las funcionalidades de alerta, de informes y análisis sobre todas las Userlock conexiones/desconexiones efectuadas en sus redes.La versión de evaluación de UserLock es válida durante 180 días. No comporta ninguna limitación en términos de funcionalidades.
11.2.3 Gestión de contraseñas de usuario. Control:
Se debería controlar la asignación de contraseñas mediante un proceso de gestión formal. (consultar 8.1.3) (consultar 11.3.1) Posibles Soluciones a este control:
NERVEPOINT TECH
Nervepoint Access Manager Self Service ayuda a reducir una importante carga de trabajo en la gestión de contraseñas de los empleados mediante una sencilla interfaz, la configuración y soporte automático en marcha por una máquina virtual en cuestión de minutos. Los empleados también se benefician, ya que significa que no hay más tickets o esperas a que el servicio de apoyo atienda sus peticiones.
Nervepoint
11.2.4 Revisión de los derechos de acceso de usuario. Control: El órgano de Dirección debería revisar con regularidad los derechos de acceso de los usuarios, siguiendo un procedimiento formal. (consultar 11.2.1) (consultar 11.2.2)
11.3 Responsabilidades de usuario. Impedir el acceso de usuarios no autorizados y el compromiso o robo de información y recursos para el tratamiento de la información. La cooperación de los usuarios autorizados es esencial para una seguridad efectiva. Los usuarios deberían ser conscientes de sus responsabilidades en el mantenimiento de controles de acceso eficaces, en particular respecto al uso de contraseñas y seguridad en los equipos puestos a su disposición. Se debería implantar una política para mantener mesas de escritorio y monitores libres de cualquier información con objeto de reducir el riesgo de accesos no autorizados o el deterioro de documentos, medios y recursos para el tratamiento de la información. Asegúrese de que se establecen las responsabilidades de seguridad y que son entendidas por el personal afectado. Una buena estrategia es definir y documentar claramente las responsabilidades relativas a seguridad de la información en las descripciones o perfiles de los puestos de trabajo. Son imprescindibles las revisiones periódicas para incluir cualquier cambio. Comunique regularmente a los empleados los perfiles de sus puestos (p. ej., en la revisión anual de objetivos), para recordarles sus responsabilidades y recoger cualquier c ambio. Porcentaje de descripciones de puesto de trabajo que incluyen responsabilidades en seguridad de la información (a) totalmente documentadas y (b) formalmente aceptadas.
11.3.1 Uso de contraseñas. Control:
Se debería exigir a los usuarios el uso de las buenas prácticas de seguridad en la selección y uso de las contraseñas. Posibles Soluciones a este control:
RANDOW PASSWORD GENERATOR
Random Password Generator (freeware) is designed to help you create secure Random passwords that are extremely difficult to crack or guess, with a combination of random lower and upper case letters, numbers and punctuation symbols. And these random generated passwords will be saved for memo. You can give a mark to the generated random password for later check.
Password generator
KEEPASS
KeePass es una aplicación free open source para la gestión de contraseñas que sirve de ayuda para gestionar las contraseñas de un modo seguro. Puedes almacenar todas las contraseñas en una única base de datos, la cual permanece accesible mediante una única clave maestra o fichero. Por tanto, sólo se tiene que recordar una única contraseña o seleccionar el fichero clave para acceder a la base de datos cifrada mediante algoritmo robusto (AES y Twofish).
Keepass
PASSWORD GENERATOR
Generador on-line de contraseñas.
Password.es
0PHCRACK
Ophcrack is a free Windows password cracker based on rainbow tables. It is a very efficient implementation of rainbow tables done by the inventors of the method. It comes with a Graphical User Interface and runs on multiple platforms. Utilidad para verificar la fortaleza de las contraseñas en uso y determinar políticas y frecuencias en la renovación de las contraseñas.
ophcrack
OXID
Cain & Abel is a password recovery tool for Microsoft Operating Systems. It allows easy recovery of various kind of passwords by sniffing the network, cracking encrypted passwords using Dictionary, Brute-Force and Cryptanalysis attacks, recording VoIP conversations, decoding scrambled passwords, recovering wireless network keys, revealing password boxes, uncovering cached passwords and analyzing routing protocols. Utilidad para verificar la fortaleza de las contraseñas en uso y determinar políticas y frecuencias en la renovación de las contraseñas.
Cain & Abel
JOHN THE RIPPER
John the Ripper is free and Open Source software, distributed primarily in source code form. If you would rather use a commercial product tailored for your specific operating system, please consider John the Ripper Pro, which is distributed primarily in the form of "native" packages for the target operating systems and in general is meant to be easier to install and use while delivering optimal performance.Utilidad para verificar la fortaleza de las contraseñas en uso y determinar políticas y frecuencias en la renovación de las contraseñas.
John the Ripper
11.3.2 Equipo de usuario desatendido. Control: Los usuarios deberían garantizar que los equipos desatendidos disponen de la protección apropiada. (consultar también 11.3.3)
11.3.3 Política de puesto de trabajo despejado y pantalla limpia. Control:
Políticas para escritorios y monitores limpios de información (consultar 7.2) (consultar 15.1) Posibles Soluciones a este control:
OISSG
Posters are utilized to efficiently and effectively educate numerous staff on new security topics each and every month. Our eyecatching, entertaining, posters will help increase the security awareness level in your workplace.
OISSG
11.4 Control de acceso a la red. Impedir el acceso no autorizado a los servicios en red. Se deberían controlar los accesos a servicios internos y externos conectados en red. El acceso de los usuarios a redes y servicios en red no debería comprometer la seguridad de los servicios en red si se garantizan: a) que existen interfaces adecuadas entre la red de la Organización y las redes públicas o privadas de otras organizaciones; b) que los mecanismos de autenticación adecuados se aplican a los usuarios y equipos; c) el cumplimiento del control de los accesos de los usuarios a los servicios de información.
Mantenga el equilibrio entre controles de seguridad perimetrales (LAN/WAN) e internos (LAN/LAN), frente a controles de seguridad en aplicaciones (defensa en profundidad). Estadísticas de cortafuegos, tales como porcentaje de paquetes o sesiones salientes que han sido bloqueadas (p. ej., intentos de acceso a páginas web prohibidas; número de ataques potenciales de hacking repelidos, clasificados en insignificantes/preocupantes/críticos).
11.4.1 Política de uso de los servicios en red. Control:
Se debería proveer a los usuarios de los accesos a los servicios para los que han sido expresamente autorizados a utilizar. (consultar 11.1)
11.4.2 Autenticación de usuario para conexiones externas Control:
Se deberían utilizar métodos de autenticación adecuados para el control del acceso remoto de los usuarios. Posibles Soluciones a este control:
INTECO
En esta Guía se señalan los diferentes pasos y procesos existentes en un sistema de autenticación y sus problemáticas específicas, así como las indicaciones y requisitos que marca la normativa en el caso de la firma electrónica. Por su parte, las buenas prácticas recomendadas se clasifican según estén dirigidas a usuarios o a los desarrolladores y administradores que definen y configuran todas las opciones existentes en los procesos de autenticación.
Guía INTECO
11.4.3 Identificación de los equipos en las redes. ontrol:
Se debería considerar la identificación automática de los equipos como un medio de autenticación de conexiones procedentes de lugares y equipos específicos. Posibles Soluciones a este control:
IPVoid
NIST
Permite a los usuarios escanear una dirección IP mediante múltiples motores de comprobación de reputación y de blacklists para facilitar la detección de p osibles IP peligrosas. CPE es un esquema de nomenclatura estructurado para sistemas de tecnología de la información, software y parches de seguridad. Sobre la base de la sintaxis
IPVoid
Official Common Platform Enumeration (CPE)
genérica de los identificadores de recursos uniformes (URI), CPE incluye un formato de nombre formal, un método para comprobar los nombres en un sistema y un formato de descripción de texto vinculante a un nombre. El diccionario en XML proporciona una lista con nomenclatura oficialmente aprobada de nombres CPE y está abierta a todo el público.
Dictionary
PAGLO
Herramienta bajo demanda para el descubrimiento de toda la información de negocio dependiente de TI y la obtención de respuestas intantaneas en relación a preguntas sobre sus ordenadores, red y seguridad.
Paglo
SPICEWORKS
Solución completa para la gestión de de la monitorización, helpdesk, inventario de PCs y generador de informes muy práctico y dirigido a la gestión TI en pequeñas y medianas empresas.
Spiceworks
TRASIR
En base a una dirección IP, DNS, e-mail o URL aporta información relevante de identificación para la verificación.
Spiceworks
URLVoid
Permite a los usuarios escanear una dirección URL mediante múltiples motores de comprobación de reputación y de blacklists para facilitar la detección de posibles Web peligrosas.
URLVoid
11.4.4 Protección de los puertos de diagnóstico y configuración remotos. Control:
Se debería controlar la configuración y el acceso físico y lógico a los puertos de diagnóstico.
11.4.5 Segregación de las redes. Control:
Se deberían segregar los grupos de usuarios, servicios y sistemas de información en las redes. (consultar 11.4.6 y 11.4.7) (consultar 11.1) (consultar 10.1) Posibles Soluciones a este control:
CYBERGHOST
La comunicación entre el ordenador del usuario de CyberGhost VPN y el servidor de anonimización también está protegida para impedir una interceptación de las transmisiones de datos. Esta protección se crea en dos pasos con el establecimiento de la conexión: la conexión se establece mediante cifrado SSL de 1.024 bits y se proporciona una clave AES de 128 bits, que es
Solución VPN
única por conexión.
ULTRAVPN
Utilizado para la protección de la privacidad de datos en LAN o en puntos de conexión públicos.
Proyecto Loki Network es un s ervicio VPN basado en SSL. Es una oportunidad LOKI NETWORK PROJECT para proteger sus datos privados (direcciones IP, contraseñas de email/FTP/HTTP, sitios web visitados, ficheros sub idos/descargados, entre otros).
LOGMEIN
LogMeIn Hamachi ofrece conectividad de dispositivos de confianza y redes privadas a través de redes públicas. Cree redes virtuales seguras basadas en Internet mediante solicitud sin hardware dedicado o infraestructura de TI adicional.
Solución VPN
Solución VPN
Redes
11.4.6 Control de la conexión a la red. Control:
En el caso de las redes compartidas, especialmente aquellas que se extienden más allá de los límites de la propia Organización, se deberían restringir las competencias de los usuarios para conectarse en red según la política de control de accesos y necesidad de uso de las aplicaciones de negocio. (consultar 11.1) (consultar 11.1.1) Posibles Soluciones a este control:
SECURITY ONION
SPICEWORKS
Security Onion distro Linux para IDS (Detección de intrusiones) y NSM (Monitorización de la seguridad de la red). Está basada en Ubuntu y contiene Snort, Suricata, Bro, Sguil, Squert, S norby, Xplico, NetworkMiner, entre otras muchas herramientas. Dispone de un menú de inicio rápido que permite construir sensores distribuidos para tu organización en minutos.
Main page
Spiceworks es una herramienta gratuita de gestión, monitorización y resolución de problemas de red, creación automática de mapas de red, helpdesk (gestión de tickets), inventario de HW y SW (descubrimiento automático, gestión de licencias...) y gestión de compras TI, entre otras funcionalidades, prevista para pequeñas y medianas empresas.
Spiceworks
11.4.7 Control de encaminamiento (routing) de red. Control:
Se deberían establecer controles de enrutamiento en las redes para asegurar que las conexiones de los ordenadores y flujos de información no incumplen la política de control de accesos a las aplicaciones de negocio. (consultar 11.1)
Posibles Soluciones a este control:
Simply use this list via DNS at ips.backscatterer.org for scoring or rejecting BACKSCATTERER bounces and sender callouts from abusive systems. BGPmon monitoriza tus prefijos de red y te alert en el caso de sospechosos BGP MONITOR cambios en las rutas. Soporte para IPv6 Cyclops es capaz de detectar diversas formas de ataque a rutas de comunicaciones, p.ej. cuando las rutas en Internet son maliciosamente redirigidas CYCLOPS desde su estado original. Herramienta que se utiliza para redirección de puertos y bypass de Firewall. FOUNDSTONE I2P es un red para el anonimato que ofrece una capa para las aplicaciones I2P ANONYMOUS sensibles a la identificación de modo que se pueda establecer una comunicación segura. Todos los datos se encapsulan con varias capas de cifrado y la red sirve NETWORK para su distribución y cambio de nodos de modo dinámico. Herramienta para comprobación de DNS Blacklisting on line. MXTOOLBOX Herramienta para comprobación FCrDNS (Forward Confirmed reverse DNS). MULTI RBL Freeware employee monitoring. Network-Tools owner sues Microsoft, Cisco, NETWORK-TOOLS Comcast and TRUSTe over IP Address Blacklisting. Suit alleges eavdropping, privacy policy fraud, breach of contract and defamation. Herramienta que permite escanear IPs activas en la red. NTA Utilidad que se basa en TOR para garantizar la privacidad y que ofrece un PRIVOXY avanzado web proxy desde el que controlar los accesos o administrar las cookies. Utilidad Proxy con optimización de uso de ancho de banda en las conexiones. SQUID Utilidad Proxy con funcionalidad de Tunneling SSL para POP2, POP3, IMAP sin STUNNEL necesidad de modificaciones en los programas. Herramienta que tiene el uso de proxy pero permite adicionalmente filtrar WEBFILTER aquellos contenidos no deseables como publicidad, entre otros.
Backscatterer BGPMon UCLA FPIPE I2P Website Website NetworkTools ARP scan Privoxy Webpage Webpage
11.5 Control de acceso al sistema operativo. Impedir el acceso no autorizado al sistema operativo de los sistemas. Se deberían utilizar las prestaciones de seguridad del sistema operativo para permitir el acceso exclusivo a los usuarios autorizados. Las prestaciones deberían ser capaces de: a) la autenticación de los usuarios autorizados, de acuerdo a la política de control de accesos definida; b) registrar los intentos de autenticación correctos y fallidos del sistema; c) registrar el uso de privilegios especiales del sistema; d) emitir señales de alarma cuando se violan las políticas de seguridad del sistema; e) disponer los recursos adecuados para la autenticación; f) restringir los horarios de conexión de los usuarios cuando sea necesario.
Implante estándares de seguridad básica para todas las plataformas informáticas y de comunicaciones, recogiendo las mejores prácticas de CIS, NIST, fabricantes de sistemas, etc. Estadísticas de vulnerabilidad de sistemas y redes, como nº de vulnerabilidades conocidas cerradas, abiertas y nuevas; velocidad media de parcheo de vulnerabilidades (analizadas por prioridades/categorías del fabricante o propias).
11.5.1 Procedimientos seguros de inicio de sesión. Conexiones a terminales. Control:
Debería controlarse el acceso al sistema operativo mediante procedimientos seguros de conexión.
11.5.2 Identificación y autenticación de usuario. Control:
Se deberían utilizar métodos de autenticación adecuados para el control del acceso remoto de los usuarios. Posibles Soluciones a este control:
INTECO
En esta Guía se señalan los diferentes pasos y procesos existentes en un sistema de autenticación y sus problemáticas específicas, así como las indicaciones y requisitos que marca la normativa en el caso de la firma electrónica. Por su parte, las buenas prácticas recomendadas se clasifican según estén dirigidas a usuarios o a los desarrolladores y administradores que definen y configuran todas las opciones existentes en los procesos de autenticación.
Guía INTECO
11.5.3 Sistema de gestión de contraseñas. Control:
Los sistemas de gestión de contraseñas deberían ser interactivos y garantizar la calidad de las contraseñas. (consultar 11.3.1) (consultar 11.2.3) Posibles Soluciones a este control:
Generador aleatorio de contraseñas (freeware) diseñado para crear contraseñas RANDOW PASSWORD seguras de modo aleatorio que son difíciles de crackear or adivinar mediante la GENERATOR combinación de mayúsculas, minúsculas, números y símbolos de puntuación. KeePass es una aplicación free open source pa ra la gestión de contraseñas que sirve de ayuda para gestionar las contraseñas de un modo seguro. Puedes KEEPASS almacenar todas las contraseñas en una única base de datos, la cual permanece accesible mediante una única clave maestra o fichero. Por tanto, sólo se tiene que
Password generator
Keepass
recordar una única contraseña o seleccionar el fichero clave para acceder a la base de datos cifrada mediante algoritmo robusto (AES y Twofish).
PASSWORD GENERATOR
Generador on-line de contraseñas.
Password.es
PASSWORD SAFE
Password Safe es una aplicación de software libre, creada en su día por Bruce Schneier, que permite gestionar de modo seguro en una única base de datos cifrada todas las contraseñas del usuario.
Password Safe
11.5.4 Uso de los recursos del sistema. Control:
Se debería restringir y controlar muy de cerca el uso de programas de utilidad del sistema que pudieran ser capaces de eludir los controles del propio sistema y de las aplicaciones. (consultar también 11.2.2) Posibles Soluciones a este control:
WINDOWS WORMS DOORS CLEANER
WINLOCKLESS
Herramienta para detectar los servicios habilitados mediante el chequeo del registro del sistema, los puertos locales abiertos y los servicios en ejecución. Propone acciones de parcheo y deshabilitación directamente una vez realizado el chequeo para que el usuario fácilmente pueda valorar tomar acciones de protección pertinentes. herramienta para prevenir (en lo posible) que el malware se ejecute de nuevo en el inicio del sistema (y así pueda bloquearlo). Útil contra aplicaciones c omo el malware que buscan modificar los registros del sistema operativo.
Softpedia
Hispasec
11.5.5 Desconexión automática de sesión. Control:
Se deberían desconectar las sesiones tras un determinado periodo de inactividad.
11.5.6 Limitación del tiempo de conexión. Control:
Se deberían utilizar limitaciones en el tiempo de conexión que proporcionen un nivel de seguridad adicional a las aplicaciones de alto riesgo.
11.6 Control de acceso a las aplicaciones y a la información.
Impedir el acceso no autorizado a la información mantenida por los sistemas de las aplicaciones. Se deberían utilizar dispositivos de seguridad con objeto de restringir el acceso a las aplicaciones y sus contenidos. Se debería restringir el acceso lógico a las aplicaciones software y su información únicamente a usuarios autorizados. Los sistemas de aplicación deberían: a) controlar el acceso de los usuarios a la información y funciones de los sistemas de aplicaciones, en relación a la política de control de accesos definida; b) proporcionar protección contra accesos no autorizados derivados del uso de cualquier utilidad, software del sistema operativo y software malicioso que puedan traspasar o eludir los controles del sistema o de las aplicaciones; c) no comprometer otros sistemas con los que se compartan recursos de información. Implante estándares de seguridad básica para todas las aplicaciones y middleware, recogiendo las mejores prácticas y checklists de CIS, NIST, fabricantes de software, etc. Porcentaje de plataformas totalmente conformes con los estándares de seguridad básica (comprobado mediante pruebas independientes), con anotaciones sobre los sistemas no conformes (p. ej., "Sistema de finanzas será actualizado para ser co nforme en cuarto trimestre)".
11.6.1 Restricción del acceso a la información. Control:
Se debería restringir el acceso de los usuarios y el personal de mantenimiento a la información y funciones de los sistemas de aplicaciones, en relación a la política de control de accesos definida. (consultar 11.1)
11.6.2 Aislamiento de sistemas sensibles. Control:
Los sistemas sensibles deberían disponer de un entorno informático dedicado (propio). (consultar 7.1.2)
Posibles Soluciones a este control:
La biblioteca TechNet Library es un recurso esencial para los profesionales de TI que usan los productos, herramientas y tecnología de Microsoft.
technet library
11.7 Ordenadores portátiles y teletrabajo. Garantizar la seguridad de la información en el uso de recursos de informática móvil y teletrabajo. La protección exigible debería estar en relación a los riesgos específicos que ocasionan estas formas específicas de trabajo. En el uso de la informática móvil deberían considerarse los riesgos de trabajar en entornos desprotegidos y aplicar la protección conveniente. En el caso del teletrabajo, la Organización debería aplicar las medidas de protección al lugar remoto y garantizar que las disposiciones adecuadas estén disponibles para esta modalidad de trabajo. Tenga políticas claramente definidas para la protección, no sólo de los propios equipos informáticos portátiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la información almacenada en ellos. Por lo general, el valor de la información supera con mucho el del hardware. Asegúrese de que el nivel de protección de los equipos informáticos utilizados dentro de las instalaciones de la organización tiene su correspondencia en el nivel de protección de los equipos portátiles, en aspectos tales como antivirus, parches, actualizaciones, software cortafuegos, etc. "Estado de la seguridad en entorno portátil / teletrabajo", es decir, un informe sobre el estado actual de la seguridad de equipos informáticos portátiles (laptops, PDAs, teléfonos móviles, etc.), y de teletrabajo (en casa de los empleados, fuerza de trabajo móvil), con comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales de seguridad conocidas y pronósticos sobre cualquier riesgo creciente, despliegue de configuraciones seguras, antivirus, firewalls personales, et c.
11.7.1 Ordenadores portátiles y comunicaciones móviles. Control:
Se debería establecer una política formal y se deberían adoptar las medidas de seguridad adecuadas para la protección contra los riesgos derivados del uso de los recursos de informática móvil y las telecomunicaciones. (Consultar también 12.3, 10.4, 11.4, 9.2.5). Posibles Soluciones a este control:
Consejo Nacional Consultivo de CyberSeguridad
Informe sobre Malware en Smartphones que tiene por objeto exponer la problemática del malware en este tipo de dispositivos y desde diversos puntos de vista (aspectos técnicos, económicos e históricos)
Guía CNCCS
Computerworld ENISA Google groups iso27001security INTECO PATRIOT NG PREY Project
Guía en inglés sobre seguridad de equipos portátiles y móviles editada por Blackberry Directorio con diversas soluciones recopiladas para el acceso remoto. Checklist de revisión de controles para equipos portátiles, trabajo en movilidad, teletrabajo y redes inalámbricas (inglés) Guía de Inteco para proteger y usar de forma segura el teléfono móvil así com o en relación a aspectos de geolocalización
Patriot es una herramienta 'Host IDS' para la monitorización en tiempo real de cambios en sistemas Windows o ataques de red. Permite monitorizar el uso y acesso de escritorio remoto entre otras utilidades. Prey permite mantener trazabilidad de tu teléfono o portátil en todo momento para poder encontrarlo en caso de pérdida o robo. Es una aplicación ligera, open source y de libre uso.
Guía seguridad móvil Enlace iso27001security Guía Celular Guía Geolocalización
Website
Prey Project
11.7.2 Teletrabajo. Control:
Se debería desarrollar e implantar una política, planes operacionales y procedimientos para las actividades de teletrabajo. ENISA NIST OSWA PATRIOT NG SME Toolkit
Directorio con diversas soluciones recopiladas para el acceso remoto. Guía NIST de seguridad para teletrabajo y acceso remoto. La herramienta gratuita OSWA- Assistant™ sirve para hacer auditorías de seguridad de WIFI, Bluetooth y RFID. Patriot es una herramienta 'Host IDS' para la monitorización en tiempo real de cambios en sistemas Windows o ataques de red. Permite monitorizar el uso y acesso de escritorio remoto entre otras utilidades. Plantilla con checklist y acuerdo para puesto de trabajo en el hogar (general, no centrada sólo en seguridad)
Enlace NIST SP800-46 OSWA Website Acuerdo Teletrabajo
12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN. 12.1 Requisitos de seguridad de los sistemas de información. Garantizar que la seguridad es parte integral de los sistemas de información.
Dentro de los sistemas de información se incluyen los sistemas operativos, infraestructuras, aplicaciones de negocio, aplicaciones estándar o de uso generalizado, servicios y aplicaciones desarrolladas por los usuarios. El diseño e implantación de los sistemas de información que sustentan los procesos de negocio pueden ser cruciales para la seguridad. Los requisitos de seguridad deberían ser identificados y consensuados previamente al desarrollo y/o implantación de los sistemas de información. Todos los requisitos de seguridad deberían identificarse en la fase de recogida de requisitos de un proyecto y ser justificados, aceptados y documentados como parte del proceso completo para un sistema de información. Involucre a los "propietarios de activos de información" en evaluaciones de riesgos a alto nivel y consiga su aprobación de los requisitos de seguridad que surjan. Si son realmente responsables de proteger sus activos, es en interés suyo el hacerlo bien. Esté al tanto de las novedades sobre vulnerabilidades comunes o actuales en aplicaciones e identifique e implemente las medidas protectoras o defensivas apropiadas. Numerosas referencias ofrecen orientación sobre la implementación, como, p. ej., OWASP.
Similar a 11.1
12.1.1 Análisis y especificación de los requisitos de seguridad. Control:
Las demandas de nuevos sistemas de información para el negocio o mejoras de los sistemas ya existentes deberían especificar los requisitos de los controles de seguridad. Posibles Soluciones a este control:
Applipedia
Cabinet Office UK CSIRT Comunitat Valenciana CVE Details ENISA
Base de datos proporcionada en abierto por Palo Alto Network Research y su equipo de investigación para que aprender más sobre el nivel de riesgo de las aplicaciones que utilizan la red. El equipo de investigación continuamente actualiza las aplicaciones (mediante una tecnología pendiente de patente) el tráfico de la clasificación, con aplicaciones nuevas y emergentes a una tasa promedio de cuatro por semana. La base de datos identifica cada aplicación además de ofrecer una descripción de la a plicación, los puertos que utiliza, características de comportamiento, entre otros. Comparativa realizada por el Gobierno Británico sobre las alternaticas Open Source a soluciones propietario y en el que se incluyen soluciones de seguridad junto a comentarios pertinentes que permiten una valoración inicial de referencia antes de introducir posibles cambios. Informes sobre realizados por CSIRT-CV con guías para la configuración segura de servicios como Dropbox o dispositivos móviles entre otros. La web proporciona un fácil utilizar el interfaz web para los datos de vulnerabilidades CVE. Se puede buscar por proveedores, productos y versiones, y ver las entradas CVE y vulnerabilidades relacionadas con ellos. Puede ver las estadísticas sobre proveedores, productos y versiones de los productos. El presente documento en español permite realizar una evaluación informada de los riesgos y ventajas para la seguridad que presenta el uso de la computación en
Application Research Center
Open Source Options
Informes Csirt-CV
Base de datos CVE Evaluación de riesgos Cloud
FFIEC
ISO
Métrica 3 NIST OWASP
nube, y ofrece orientaciones sobre protección para los usuarios actuales y futuros de la computación en nube. Guía del FFIEC (Federal Financial Institutions Examination Council), en inglés, sobre cómo implantar un proceso de desarrollo y adquisición de TI eficaz en una organización. La acompaña una lista de verificación -checklist-, útil para auditar dicho proceso. ISO/IEC 21827 es la norma, en inglés, que especifica el "Systems Security Engineering - Capability Maturity Model", que describe las características esenciales del proceso de ingeniería de seguridad en una organización. ISO/IEC 21827 no prescribe un proceso o secuencia particular, sino que recoge las prácticas generales del sector. La metodología M TRICA Versión 3 ofrece a las organizaciones un instrumento útil para la sistematización de las actividades que dan soporte al ciclo de vida del software. Está promovida por el Gobierno español. El documento publicado resume la justificación de un Protocolo de Uso (EUP) de la Historia Clínica Electrónica (EHR) y describe los procedimientos para la evaluación del diseño y pruebas de rendimiento de los usuarios de estos sistemas. La guía de desarrollo de OWASP (Open Web Application Security Project) ayuda a crear aplicaciones web seguras. Disponible también en español.
FFIEC D&A IT Handbook
ISO/IEC 21827
Métrica v3
Documento
12.2 Tratamiento correcto de las aplicaciones. Evitar errores, pérdidas, modificaciones no autorizadas o mal uso de la información en las aplicaciones. Se deberían diseñar controles apropiados en las propias aplicaciones, incluidas las desarrolladas por los propios usuarios, para asegurar el procesamiento correcto de la información. Estos controles deberían incluir la validación de los datos de entrada, el tratamiento interno y los datos de salida. Podrían ser requeridos controles adicionales para los sistemas que procesan o tienen algún efecto en activos de información de carácter sensible, valioso o crítico. Dichos controles deberían ser determinados en función de los requisitos de seguridad y la estimación del riesgo. Siempre que sea posible, utilice librerías y funciones estándar para necesidades corrientes como validación de datos de entrada, restricciones de rango y tipo, integridad referencial, etc. Para mayor confianza con datos vitales, construya e incorpore funciones adici onales de validación y chequeo cruzado (p. ej., sumas totalizadas de control). Desarrolle y use herramientas -y habilidades- de prueba automatizadas y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyección SQL, etc. Porcentaje de sistemas para los cuales los controles de validación de datos se han (a) definido y (b) implementado y demostrado eficaces mediante pruebas.
12.2.1 Validación de los datos de entrada. Control:
Se deberían validar los datos de entrada utilizados por las aplicaciones para garantizar que estos datos son correctos y apropiados. (consultar 10.10.1)
12.2.2 Control del procesamiento interno. Control:
Se deberían incluir chequeos de validación en las aplicaciones para la detección de una posible corrupción en la información debida a errores de procesamiento o de acciones deliberadas. (consultar también 10.1.1) (consultar 12.2.1) (consultar 10.10.1) Posibles Soluciones a este control:
Adops Tools
FORTIFY SOFTWARE INC.
JUST ANOTHER HACKER (Eldar "Wireghoul" Marcussen blog)
MICROSOFT
PE Analysis Toolkit OllyDbg
SuRGeoNix
US HOMELAND SECURITY WEBSECURIFY
Proporciona escaneo de ficheros flash y realiza un informe completo y exhaustivo sobre el contenido de la versión, dimensiones, tamaño, listado de getURL y de actionscripts, detectando agujeros de seguridad y presencia de malware. Rough Auditing Tool for Security (RATS) is an automated code review tool, provided originally by Secure Software Inc, who were ac quired by Fortify Software Inc. It scans C, C++, Perl, PHP and Python source code and flags common security related programming errors such as buffer overflows and TOCTOU (Time Of Check, Time Of Use) race c onditions. The tool performs a rough analysis of the source code. Graudit is a simple script and signature sets that allows you to find potential security flaws in source code using the GNU utility grep. It's comparable to other static analysis a pplications like RATS, SWAAT and flaw-finder while keeping the technical requirements to a minimum and being very flexible. Graudit supports scanning code written in several languages; asp, jsp, perl, php a nd python. Code Analysis Tool .NET is a binary code analysis tool that helps identify common variants of certain prevailing vulnerabilities that can give rise to common attack vectors such a s Cross-Site Scripting (XSS), SQL Injection and XPath Injection. PEV puede utilizarse por programadores, administradores o analistas de seguridad para el análisis de ficheros EXE/DLL de Windows, generar firmas de malwares, control de versiones ejecutables, estudio de PE, ingeniería inversa de códido, entre otros. Debugger para análisis de código a nivel ensamblador, incluso cuando el código fuente no está disponible. Conjunto de herramientas para pruebas de seguridad de aplicaciones web. Fue diseñado por auditores de seguridad como ayuda en la planificación de las aplicaciones web y su explotación. En la actualidad, se utiliza un Web Crawler eficiente, rápido y estable, Archivo / Dir forcer Bruto, Fuzzer para la explotación avanzada de vulnerabilidades conocidas y poco comunes, tales como inyecciones SQL, Cross Site Scripting (XSS), fuerza bruta en accesos, identificación de las reglas de filtrado en cortafuegos, ataques DOS y Web Proxy para analizar, interceptar y manipular el tráfico entre el navegador y la aplicación web de destino. The 2010 CWE/SANS Top 25 Most Dangerous Programming Errors is a list of the most widespread and critical programming errors that can lead to serious software vulnerabilities. Herramienta para entornos de prueba de seguridad de las aplicaciones web diseñada para propociornar la mejores combinaciones de tecnologías de
Adops Tools
RATS
GRAudit
CAT .NET
Pev
OllyDbg
WebSurgery
CWE WebSurgery
testeo de vulnerabilidades manuales y automáticas.
12.2.3 Integridad de los mensajes. Control:
Se deberían identificar los requisitos para asegurar la autenticidad y protección de la integridad del contenido de los mensajes en las aplicaciones, e identificar e implantar los controles apropiados.
12.2.4 Validación de los datos de salida. Control:
Se deberían validar los datos de salida de las aplicaciones para garantizar que el procesamiento de la información almacenada es correcto y apropiado a las circunstancias.
12.3 Controles criptográficos. Proteger la confidencialidad, autenticidad o integridad de la información con la ayuda de técnicas criptográficas. Se debería desarrollar una política de uso de controles criptográficos. Se debería establecer una gestión de claves que de soporte al uso de técnicas criptográficas. Utilice estándares formales actuales tales como AES, en lugar de algoritmos de cosecha propia. ¡La implementación es crucial! Porcentaje de sistemas que contienen datos valiosos o sensibles para los cuales se han implantado totalmente controles criptográficos apropiados (periodo de reporte de 3 a 12 meses).
12.3.1 Política de uso de los controles criptográficos. Control:
Se debería desarrollar e implantar una política de uso de controles criptográficos para la protección de la información. Guías:
(consultar también 5.1.1) (consultar también 12.3.2) (consultar también 15.1.6) Posibles Soluciones a este control:
Free Open-Source Disk Encryption Software Modelo de política de encriptación (inglés) Low cost, easy to use and highly secure encryption and digital signature solutions for every one from big c ompanies to individual users Herramienta gratuita y genera firmas c odificadas según el formato PKCS#7 o CMS (Cryptographic Message Syntax) Implementation of the OpenPGP standard as defined by RFC4880 . GnuPG allows to encrypt and sign your data and communication, features a versatile key managment system as well as access modules for all kind of public key directories. Version 2 of GnuPG also provides support for S/MIME. Tabla resumen descriptiva de productos y sus funcionalidades de cifrado.
truecrypt Sans MXC Albalia
GNU project
Northwestern
12.3.2 Gestión de claves. Cifrado. Control:
Se debería establecer una gestión de las claves que respalde el uso de las técnicas criptográficas en la Organización. Posibles Soluciones a este control:
Albalia
Asistente DNI
Crytool MANDOS TrueCrypt
Herramienta gratuita y genera firmas codificadas según el formato PKCS#7 o CMS (Cryptographic Message Syntax) El Asistente de Instalación del DNIe es un programa que te permitirá: - Comprobar el estado de una instalación anterior del DNI Electrónico en su ordenador; - Instalar todos los elementos necesarios para poder utilizar el DNI Electrónico; - Utilizar el DNIe en los navegadores más habituales (Internet Explorer, Firefox y Chrome); - Validar los certificados del DNI Electrónico; - Desinstalar el DNI Electrónico en su equipo Windows o Linux (Ubuntu). JCrypTool (JCT) es una plataforma open-source y de e-learning que permite experimentar con aspectos de cifrado en Linux, MAC OS X y Windows Mandos es un sistema que permite que los servidores con sistemas de archivos raíz cifrados puedan ser reiniciados de forma desatendida y/o remota. Software gratuito de cifrado de discos y particiones
AlbaliaFirma.zip
Zona TIC
Acceso página
Descarga Mandos
12.4 Seguridad de los archivos de sistema. Garantizar la seguridad de los sistemas de ficheros. Se debería controlar el acceso a los sistemas de ficheros y código fuente de los programas. Los proyectos TI y las actividades de soporte deberían ser dirigidos de un modo seguro. Se debería evitar la exposición de datos sensibles en entornos de prueba. Aplique consistentemente estándares de seguridad básica, asegurando que se siguen las recomendaciones de CIS, NIST, fabricantes de sistemas, etc. Porcentaje de sistemas evaluados de forma independiente como totalmente conformes con los estándares de seguridad básica aprobados, respecto a aquellos q ue no han sido evaluados, no son conformes o para los que no se han aprobado dichos estándares.
12.4.1 Control del software en explotación. Control:
Se deberían establecer procedimientos con objeto de controlar la instalación de software en sistemas que estén operativos. (consultar 12.4.3) (consultar 10.1.4) (consultar también 12.6.1) Posibles Soluciones a este control:
CENTRE FOR THE PROTECTION OF NATIONAL INFRASTRUCTURE NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY MICROSOFT TECHNET
This document is a guide to patch management, defined as the process of controlling the deployment and maintenance of interim software releases into operational environments.
CPNI
This document provides guidance on creating a security patch and vulnerability management program and testing the effectiveness of that program.
NIST
Guías de seguridad para la gestión de actualizaciones
12.4.2 Protección de los datos de prueba del sistema. Control:
Guia MICROSOFT
Se deberían seleccionar, proteger y controlar cuidadosamente los datos utilizados para las pruebas. Posibles Soluciones a este control:
Guidelines for the Use of Personal Data in System Testing (Second Edition)
http://shop.bsigroup.com
12.4.3 Control de acceso al código fuente de los programas. Control:
Se debería restringir el acceso al código fuente de los programas. (consultar también 11) (consultar 10.7.4) (consultar 12.5.1)
12.5 Seguridad en los procesos de desarrollo y soporte. Mantener la seguridad del software del sistema de aplicaciones y la información. Se deberían controlar estrictamente los entornos de desarrollo de proyectos y d e soporte. Los directivos responsables de los sistemas de aplicaciones deberían ser también responsables de la seguridad del proyecto o del entorno de soporte. Ellos deberían garantizar que todas las propuestas de cambio en los sistemas son revisadas para verificar que no comprometen la seguridad del sistema o del entorno operativo. Incorpore la seguridad de la información al ciclo de vida de desarrollo de sistemas en todas sus fases, desde la concepción hasta la desaparición de un sistema, por medio de la inclusión de "recordatorios" sobre seguridad en los procedimientos y métodos de desarrollo, operaciones y gestión de cambios. Trate el desarrollo e implementación de software como un proceso de cambio. Integre las mejoras de seguridad en las actividades de gestión de cambios (p. ej., documentación y formación procedimental para usuarios y administradores). "Estado de la seguridad en sistemas en desarrollo", es decir, un informe sobre el estado actual de la seguridad en los procesos de desarrollo de software, con comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales de seguridad conocidas y pronósticos sobre cualquier riesgo creciente, etc.
12.5.1 Procedimientos de control de cambios.
Control:
Se debería controlar la implantación de cambios mediante la aplicación de procedimientos formales de control de cambios. (Consultar también 10.1.2 y 10.1.1) Posibles Soluciones a este control:
OCS Inventory NG
Genos Open Source
Distribución de SW
OCS Inventory es una herramienta gratuita de creación automática de inventarios de HW, escaneo OCS de red y distribución de paquetes de software. GMF es una implementación de las recomendaciones ITIL (IT Infrastructure Library) para la gestión de servicios de TI ( IT Service Management o ITSM). GMF es un producto de software libre distribuido GMF - GenosOrg bajo licencia GPL e incluye módulos de gestión de incidencias (Trouble Ticketing ), gestión de inventario, gestión del cambio ( Change Management ), SLA y reporting. Diversas herramientas de pago de distribución de paquetes de software en una red: Altiris, Enteo Altiris, Enteo, Microsoft SCCM NetInstall, Microsoft System Center Configuration Manager.
12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo. Control:
Se deberían revisar y probar las aplicaciones críticas de negocio cuando se realicen cambios en el sistema operativo, con objeto de garantizar que no existen impactos adversos para las actividades o seguridad de la Organización (consultar cláusula 14) (consultar 12.6)
12.5.3 Restricciones a los cambios en los paquetes de software. Control:
Se debería desaconsejar la modificación de los paquetes de software, restringiéndose a lo imprescindible y todos los cambios deberían ser estrictamente controlados. (consultar 12.6)
12.5.4 Fugas de información. Canales encubiertos y código troyano.
Control:
Se debería prevenir las posibilidades de fuga de información. Posibles Soluciones a este control:
SEINHE ISO
Artículo de introducción a las tecnologías de prevención de fuga de información DLP (Data Loss Prevention o Data Leak Prevention). ISO/IEC 15408: Criterios de evaluación de seguridad TI. Software desarrollado bajo un proceso evaluado y certificado debería ser menos sensible a la fuga de información por vulnerabilidades.
Artículo de SEINHE ISO 15408
12.5.5 Externalización del desarrollo de software. Control:
Se debería supervisar y monitorizar el desarrollo del software subcontratado por la Organización. (Consultar también 6.2.1, 6.2.3, 6.1.5, 10.2, 15.1.2) Posibles Soluciones a este control:
FFIEC OllyDbg
Guía del FFIEC (Federal Financial Institutions Examination Council), en inglés, para la adecuada supervisión de proveedores de servicios TI. La acompaña una lista de verificación -checklist-, útil para auditar dicho proceso. Debugger para análisis de código a nivel ensamblador, incluso cuando el código fuente no está disponible.
FFIEC IT providers superivision booklet OllyDbg
12.6 Gestión de la vulnerabilidad técnica. Reducir los riesgos originados por la explotación de vulnerabilidades técnicas publicadas. Se debería implantar una gestión de la vulnerabilidad técnica siguiendo un método efectivo, sistemático y cíclico, con la toma de medidas que confirmen su efectividad. Se deberían considerar sistemas operativos, así como todas las aplicaciones que se encuentren en uso. Haga un seguimiento constante de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o actualización automática siempre que sea posible (p. ej., Microsoft Update o Secunia Software Inspector).
Evalúe la relevancia y criticidad o urgencia de los parches en su entorno tecnológico. Pruebe y aplique los parches críticos, o tome otras medidas de protección, tan rápida y extensamente como sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas y que estén siendo explotadas fuera activamente. Evite quedarse tan atrás en la rutina de actualización de versiones que sus sistemas queden fuera de soporte por el fabricante. Latencia de parcheo o semiperiodo de despliegue (tiempo que ha llevado parchear la mitad de los sistemas vulnerables -evita variaciones circunstanciales debidas a retrasos en unos pocos sistemas, tales como portátiles fuera de la empresa o almacenados-).
12.6.1 Control de las vulnerabilidades técnicas. Control:
Se debería obtener información oportuna sobre la vulnerabilidad técnica de los sistemas de información que se están utilizando, evaluar la exposición de la organización ante tal vulnerabilidad y tomar las medidas adecuadas para hacer frente a los riesgos asociados. (Consultar también, entre otros, 7.1, 12.5.1, 13.2, 11.4.5) Posibles Soluciones a este control:
Belarc Burp Suite DELL KACE KBox
Digital Encode
Cloud Cracker ENISA FileHippo
FileFuzz
Belarc Advisor construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el explorador Web. Toda la información del perfil del PC se mantiene privada y no se envía a servidores de la web. Plataforma integrada para el desarrollo de test de seguridad de aplicaciones web. Solución para pequeñas y grandes empresas con el objetivo de ahorrar tiempo y dedicación en labores de administración TI en la detección y actualización de los equipos conectados de la organización. Disponible diverso material informativo y una versión de prueba de 30 días. Ejemplo, en inglés, de un informe resultante de un análisis de vulnerabilidades y test de penetración realizado para una empresa ficticia. Servicio de cracking de contraseñas para test de penetración y audtitores de red que necesitan chequear la securidad de protecciones WPA2-PSK en redes wireless, crack hashes o romper cifrados de documentos. Directorio con diversas soluciones recopiladas para la comprobación de vulnerabilidades y auditoría de sistemas. Update Checker revisará el software instalado en tu ordenador, comprobará las versiones y después enviará esta información a FileHippo.com para ver si hay nuevas versiones. Éstas se muestran ordenadamente en tu navegador para que las descargues. Versión gratuita. FileFuzz ha sido diseñado para automatizar la creación de formatos de fichero anormales en la ejecución de aplicaciones. FileFuzz dispone adicionalmente de capacidades de debugging para detectar excepciones como resultados de las pruebas.
Belarc Advisor
Burp Suite KACE Vulnerability Assessment & Penetration Test Report template Servicio Cloud Enlace
FileHippo
SecuriTeam
Fuzzdb
Base de datos con patrones para los casos más habituales de ataque. GFI LANguard es una herramienta, en español, que permite hacer gestión de actualizaciones, gestión de vulnerabilidades, auditoría de red y de software, GFI inventario, gestión de cambios y análisis de riesgos y cumplimiento. Versión gratuita para uso no comercial para hasta 5 IPs. Enorme repositorio de soluciones técnicas en seguridad. Gizmo's freeware Escáner de vulnerabilidades en aplicaciones web, de Google. Google Code Repositorio con múltiples herramientas y recursos para pentesting. HackArmoury Esta solución de auditoría de intrusión y solución de testeo de software está diseñada para permitir a las organizaciones de cualquier tamaño mitigar, INSECURITY RESEARCH monitorizar y gestionar las últimas vulnerabilidades en seguridad para implantar políticas de seguridad activa mediante la realización de tests de intrusión en si infraestrustura y aplicaciones. Documento de ejemplo, en inglés, de un proceso de análisis de vulnerabilidades InfosecWriters para una empresa ficticia. CONAN es una analizador de vulnerabilidades en PCs gratuito, en español, INTECO Cert desarrollado por INTECO. Gestión integrada y proactiva de gestión de parches y evaluación de vulnerabilidades de software. Administración completa de vulnerabilidades usando un proceso de validación de mercado que incluye el descubrimiento e LUMENSION inventario de activos a través de exploraciones basadas en agentes locales y de red; una remediación automatizada e inteligente y una auditoría de conformidad continua. Solución de pago pero dispone de una versión de prueba. Herramienta que permite testar servidores IPsec VPN. NTA Matriux es una distribución open source que incluye un conjunto de herramientas para tests de penetración, hacking ético, administración de sistemas y redes, Matriux informática forense, análisis de vulnerabilidades, etc. Open Vulnerability Assessment System (OpenVAS) es un conjunto de servicios y herramientas de software libre en inglés que proporcionan una solución de OpenVAS escaneado y gestión de vulnerabilidades. QUALYS Browser check permite realizar un test a su navegador y localizar posibles desactualizaciones y vulnerabilidades en la versión utilizada así como en QUALYS plugins instalados (java, flash, pdf, ...) . Este servicio gratuito online realiza un análisis en profundidad de la configuración de cualquier servidor web SSL disponible públicamente en QUALYS Internet. Genera un informe en detalle de las comprobaciones realizadas además del catalogar el site según un ranking documentado (rating guide). NeXpose Community Edition es una herramienta, en inglés, de gestión de vulnerabilidades para pequeñas organizaciones. Es gratuita hasta un límite de 32 RAPID7 IPs. Retina Network Community, es un potente escaner de vulnerabilidades free hasta RETINA 128 IPs para desarrollar valoraciones en todo tu entorno. Secunia proporciona una serie de herramientas de escaneo de vulnerabilidades software y gestión de pa rches. Dispone de versiones gratuitas para uso personal SECUNIA no comercial. Panel de información con las vulnerabilidades en productos y que se actualiza constantemente. La sección de herramientas permite consultar posibles soluciones SECURE DATABASE de manera extensa y en materia de seguridad. sleuthkit.org es la web oficial para The Sleuth Kit (TSK) y Autopsy Browser, ambas herramientas open source para la investigación forense y ejecutables en entornos Windows y Unix (tales como Linux, OS X, Cygwin, FreeBSD, OpenBSD, y Solaris). Pueden analizar sistemas de ficheros NTFS, FAT, HFS+, Ext2, Ext3, UFS1, y UFS2 entre otros tipos de volúmenes. TSK consiste en una librería C y una Sleuth Kit colección de herramientas desde ventana de comandos. Autopsy es un interace gráfico para TSK. TSK es integrable de varias formas con sistemas forenses automatizados. The Sleuth Kit Hadoop Framework es un framework que incorpora TSK en cloud computing para el análisis de grandes volúmenes de datos. SQLmap es una herramienta open source, en inglés, que automatiza el proceso de SQLMap detección y explotación de vulnerabilidades de inyección SQL.
Fuzzdb GFI LANguard Repositorio Skipfish Repositorio
INSECT PRO
Testing Process CONAN
Vulnerability Management tool
ike-scan Matriux
OpenVAS Test de vulnerabilidades de Navegador SSL Labs on-line tool Rating guide NeXpose eEye Secunia
Dashboard y tools
TSK
SQL Map
13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN. 13.1 Notificación de eventos y puntos débiles de seguridad de la información. Garantizar que los eventos y debilidades en la seguridad asociados con los sistemas de información se comuniquen de modo que se puedan realizar acciones correctivas oportunas. Debería establecerse el informe formal de los eventos y de los procedimientos de escalado. Todos los empleados, contratistas y terceros deberían estar al tanto de l os procedimientos para informar de los diferentes tipos de eventos y debilidades que puedan tener impacto en la seguridad de los activos organizacionales. Se les debería exigir que informen de cualquier evento o debilidad en la seguridad de información lo más rápido posible y al punto de contacto designado. Establezca y dé a conocer una hotline (generalmente, el helpdesk habitual de TI) para que la gente pueda informar de incidentes, eventos y problemas de seguridad. Estadísticas del helpdesk de TI, con análisis sobre el número y tipos de llamadas relativas a seguridad de la información (p. ej., cambios de contraseña; porcentaje de preguntas acerca de riesgos y controles de seguridad de la información respecto al total de preguntas). A partir de las estadísticas, cree y publique una tabla de clasificación por departamentos (ajustada según el número de empleados por departamento), mostrando aquellos que están claramente concienciados con la seguridad, frente a los que no lo están.
13.1.1 Notificación de los eventos de seguridad de la información. Control:
Se deberían comunicar los eventos en la seguridad de información lo más rápido posible mediante canales de gestión apropiados. (Consultar también 8.2.2, 10.10.5, 13.2.3) Para mayor información sobre el reporte de eventos y la gestión de incidentes en la seguridad de información se puede consultar la norma ISO/IEC TR 18044. Posibles Soluciones a este control:
ENISA ENISA
GENOS
Esta guía complementa el actual conjunto de guías de ENISA para el a poyo de CERTs. En él se describen las buenas prácticas y proporciona información y orientaciones prácticas para la gestión de incidentes de seguridad desde la red y la información con énfasis en la gestión de incidentes. ENISA CERT Ejercicios y material de de formación en gestión de incidentes con guías en español. GMF es una implementación de las recomendaciones ITIL (IT Infrastructure Library) para la gestión de servicios de TI ( IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye módulos de gestión de incidencias ( Trouble Ticketing ), gestión de inventario, gestión del cambio ( Change Management ), SLA y reporting.
ENISA
ENISA
GMF - GenosOrg
Formatos de registro
SANS
Guías y Modelos para la comunicación y gestión de incidentes (inglés).
Guía para PYMES Articulos y documentación
SPICEWORKS
Web Help Desk
Spiceworks es una herramienta gratuita de gestión, monitorización y resolución de problemas de red, creación automática de mapas de red, helpdesk (gestión de tickets), inventario de HW y SW (descubrimiento automático, gestión de licencias...) y gestión de compras TI, entre otras funcionalidades, prevista para pequeñas y medianas empresas. Web Help Desk es una herramienta de gestión de soporte a usuarios -incluyendo el registro de incidencias automático vía correo electrónico-, que dispone de una versión gratuita.
Spiceworks
Web Help Desk
13.1.2 Notificación de puntos débiles de seguridad. Control:
Todos los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de información deberían anotar y comunicar cualquier debilidad observada o sospechada en la seguridad de los mismos.
13.2 Gestión de incidentes y mejoras de seguridad de la información. Garantizar que se aplica un enfoque consistente y eficaz para la gestión de los incidentes en la seguridad de información. Deberían establecerse las responsabilidades y procedimientos para manejar los eventos y debilidades en la seguridad de información de una manera efectiva y una vez que hayan sido comunicados. Se debería aplicar un proceso de mejora continua en respuesta para monitorear, evaluar y gestionar en su totalidad los incidentes en la seguridad de información. Cuando se requieran evidencias, éstas deben ser recogidas para asegurar el cumplimiento de los requisitos legales.
Las revisiones post-incidente y los casos de estudio para incidentes serios, tales como fraudes, ilustran los puntos débiles de control, identifican oportunidades de mejora y conforman por sí mismos un mecanismo eficaz de concienciación en seguridad. Número y gravedad de incidentes; evaluaciones de los costes de analizar, detener y reparar los incidentes y cualquier pérdida tangible o intangible producida. Porcentaje de incidentes de seguridad que han causado costes por encima de umbrales aceptables definidos por la dirección.
13.2.1 Responsabilidades y procedimientos. Control:
Se deberían establecer las responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, efectiva y ordenada a los incidentes en la seguridad de información. (Consultar también 13.1 , 10.10.2 , 10.4.1 , 14.1.3 , 13.2.2 , 13.2.3 y 6.2) Posibles Soluciones a este control:
La respuesta temprana para los incidentes de la seguridad se presenta en dos partes: documento maestro para el tutor (Manual) y los documentos para los estudiantes con ejercicios. Este material tiene la intención de ayudar a una Agencia Europea de Seguridad respuesta temprana "CERT" mediante equipos capacitados para reaccionar a los de las Redes y de la eventos cotidianos y especiales. El material contiene 12 ejercicios en diversos Información (ENISA) escenarios, que van desde actividades CERT internos a las actividades de coordinación durante los ataques cibernéticos a gran escala contra países enteros. A través de esta guía básica esperamos ofrecer información de utilidad a las organizaciones y las empresas, de manera que puedan tomar las mejores INTECO decisiones, con el objetivo de minimizar las consecuencias y el impacto de un incidente de fuga de información. Este documento proporciona ayuda a las organizaciones para establecer una NIST respuesta y gestión efectiva de los incidentes de seguridad en sistemas TI.
SEINHE
Consideraciones sobre la gestión de incidentes de seguridad de la información.
ENISA Manual ENISA Toolset
Guía INTECO
SP800-61 Gestión de incidentes de seguridad
13.2.2 Aprendizaje de los incidentes de seguridad de la información. Control:
Debería existir un mecanismo que permitan cuantificar y monitorear los tipos, volúmenes y costes de los incidentes en la seguridad de información. (consultar 5.1.2) Posibles Soluciones a este control:
CERT UK NTA
Guía de respuesta a incidentes del GovCertUK, organismo responsable del soporte a los departamentos gubernamentales del Reino Unido en los incidentes de seguridad. Herramienta que permite valorar el coste potencial de una parada en los servicios.
Incident Response Guidelines Downtime
Calculator
13.2.3 Recopilación de evidencias. Control:
Cuando una acción de seguimiento contra una persona u organización, después de un incidente en la seguridad de información, implique acción legal (civil o criminal), la evidencia debe ser recolectada, retenida y presentada conforme a las reglas para la evidencia establecidas en la jurisdicción relevante. (Consultar también 8.2.3) Posibles Soluciones a este control:
AVG BSI SHOP
CAINE ConexiónInversa CYBEX DRADIS ENISA FROST
ISO/IEC 27037
MANDIANT
MATRIUX
MICROSOFT TECHNET NIST
AVG Rescue CD es un poderoso juego de herramientas indispensable para rescatar y reparar equipos infectados. Closed circuit television (CCTV). Management and operation. Code of practice CAINE (Computer Aided INvestigative Environment) is an Italian GNU/Linux live distribution created as a project of Digital Forensics. CAINE offers a complete forensic environment that is organized to integrate existing software tools as software modules and to provide a friendly graphical interface. Blog con post de recopilación de 101 utilidades forenses. Colección de jurisprudencia española sobre evidencia electrónica. Marco Open source para poder compartir en un repositorio centralizado la información y trazabilidad de las auditorías de seguridad en sistemas y en aplicaciones web, así como en tests de intrusión. Directorio con diversas soluciones recopiladas por ENISA para la recogida ed información y análisis de evidencias. Forensic Recovery of Scrambled Telephone es una herramienta que permite ataques de arranque en frío y ecuperar información sensible, tales como listas de contactos, visitas a sitios Web y fotos, directamente desde la RAM, a pesar de que el gestor de arranque está bloqueado. Estándar que propociona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros dispositvos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones. MANDIANT Memoryze es un software forense para memorias de libre uso que ayuda en la respuesta de un incidente mediante la búsqueda en actividad maliciosa en la memoria del computador. Memoryze puede obtener y/o analizar imágenes y sistemas en activo y puede incluir ficheros paginados en sus análisis. Fully featured security distribution consisting of a bunch of powerful, open source and free tools that can be used for various purposes including, but not limited to, penetration testing, ethical hacking, system and network administration, cyber forensics investigations, security testing, vulnerability analysis, and much more. Guía de planeamiento de supervisión de la seguridad y detección de ataques. Aporta dos ventajas principales para las organizaciones, independientemente de su tamaño: la capacidad de identificar ataques de forma instantánea y la capacidad de realizar análisis forenses de los sucesos ocurridos antes, durante y después de un ataque. Este documento proporciona ayuda para la integración del análisis forense con los mecanismos de una respuesta y gestión efectiva de los
AVG CD rescate Guía BSI
Caine
101 Utilidades forenses Cybex dradis Enlace
Enlace
ISO
Memoryze
Matriux
Guia MICROSOFT
SP800-86
OS FORENSICS
RadioGraPhy
SANS
Sleuth Kit
incidentes de seguridad. OSForensics puede obtener información sobre accesos recientes a aplicaciones, documentos, dispositivos de almacenamiento y redes mediente el escaneo del registro. La información se recoge y muestra en paneles de un modo útil y sencillo. Radiography es una herramienta forense que recoge la mayor información posible de sistemas Windows dentro de las cl aves de registro del proceso de arranque y del navegador IE, cuentas del sistema y propiedades, ficheros de inicio, servicios del sistemas, drivers, procesos ocultos, información de red, entre otros. The SANS SIFT Workstation is a VMware Appliance that is pre-configured with all the necessary tools to perform a detailed digital forensic examination. It is compatible with Expert Witness Format (E01), Advanced Forensic Format (AFF), and raw (dd) evidence formats. The brand new version has been completely rebuilt on an Ubuntu base with many additional tools and capabilities that can m atch any modern forensic tool suite. sleuthkit.org es la web oficial para The Sleuth Kit (TSK) y Autopsy Browser, ambas herramientas open source para la investigación forense y ejecutables en entornos Windows y Unix (tales como Linux, OS X, Cygwin, FreeBSD, OpenBSD, y Solaris).
PassMark Software
Proyecto de desarrollo
SANS
Pueden analizar sistemas de ficheros NTFS, FAT, HFS+, Ext2, Ext3, UFS1, y UFS2 entre otros tipos de volúmenes. TSK consiste en una librería C y una colección de herramientas desde ventana de comandos. Autopsy es un interace gráfico para TSK. TSK es integrable de varias formas con sistemas forenses automatizados. The Sleuth Kit Hadoop Framework es un framework que incorpora TSK en cloud computing para el análisis de grandes volúmenes de datos.
14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO. 14.1 Aspectos de seguridad de la información en la gestión de la continuidad del negocio. Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente a desastres o grandes fallos de los sistemas de información. Se debería implantar un proceso de gestión de continuidad del negocio para reducir, a niveles aceptables, la interrupción causada por los desastres y fallos de seguridad (que, por ejemplo, puedan resultar de desastres naturales, accidentes, fallas de equipos o acciones deliberadas) mediante una combinación de controles preventivos y de recuperación.
Este proceso debería identificar los procesos críticos de negocio e integrar los requisitos de gestión de la seguridad de información para la continuidad del negocio con otros requisitos de continuidad relacionados con dichos aspectos como operaciones, proveedores de personal, materiales, transporte e instalaciones. Se deberían analizar las consecuencias de los desastres, fallas de seguridad, pérdidas de servicio y la disponibilidad del servicio y desarrollar e implantar planes de contingencia para asegurar que los procesos del negocio se pueden restaurar en los plazos requeridos las operaciones esenciales. La seguridad de información debería ser una parte integral del plan general de continuidad del negocio y de los demás procesos de gestión dentro de la organización. La gestión de la continuidad del negocio debería incluir adicionalmente al proceso de evaluación, controles para la identificación y reducción de riesgos, limitar las consecuencias de incidencias dañinas y asegurar la reanudación a tiempo de las operaciones esenciales. Considere la gestión de continuidad de negocio como un proceso con entradas procedentes de diversas funciones (alta dirección, TI, operaciones, RRHH, etc.) y actividades (evaluación de riesgos, etc.). Asegure la coherencia y concienciación mediante personas y unidades organizativas relevantes en los planes de continuidad de negocio. Deberían llevarse a cabo las pruebas pertinentes (tales como pruebas sobre el papel, simulacros, pruebas de failover, etc.) para (a) mantener los planes actualizados, (b) aumentar la confianza de la dirección en los planes y (c) familiarizar a los empleados relevantes con sus funciones y responsabilidades bajo condiciones de desastre. Obtenga consejos de implantación en BS 25999 - Gestión de la Continuidad de Negocio. Porcentaje de planes de continuidad de negocio en cada una de las fases del ciclo de vida (requerido / especificado / documentado / probado). Porcentaje de unidades organizativas con planes de continuidad de negocio que han sido adecuadamente (a) documentados y (b) probados mediante tests apropiados en los últimos 12 meses.
14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio. Control:
Se debería desarrollar y mantener un proceso de gestión de la continuidad del negocio en la organización que trate los requerimientos de seguridad de la información necesarios para la continuidad del negocio. (Consultar también 14.1.2, 7.1.1, 14.1.3, 14.1.5, 6.1.1) Posibles Soluciones a este control:
AENOR
UNE 71599-1: Norma española de buenas prácticas en gestión de
UNE 71599-1:2010
AENOR ASIS International
contiuidad de negocio, basada en BS 25999-1:2006. UNE 71599-2: Norma española que establece los requisitos para un sistema de gestión de continuidad de negocio, basada en BS 259992:2007. Guía de continuidad de negocio de ASIS International (en inglés).
Guía en inglés de buenas prácticas de continuidad de negocio del Business Continuity Institute. El estándar BSI 100-4 describe un método sistemático para desarrollar, establecer y mantener un sistema de gestión para la BSI (Federal Office for Information continuidad del negocio e integrado con estándares como BS 25999, ISO 27001, ISO 20000, PAS 99, GPG del BCI entre otros Security de Alemania) marcos de refencia. Buenas prácticas de gestión de continuidad de negocio del Disaster DRII Recovery Institute International - DRII (en inglés). Guía de planificación de c ontinuidad de negocio, en inglés, del Federal Financial Institutions Examination Council. La acompaña FFIEC una lista de verificación -checklist-, útil para auditar el proceso. Presentación en español de Manuel Ballester, de introducción a la FIST Conference continuidad de negocio, realizada en las Conferencias FIST. Guía de gestión de continuidad de negocio publicada por el Government of Saskatchewan gobierno de la provincia canadiense de Saskatchewan (en inglés). Guía práctica para pymes en español de cómo implantar un plan de INTECO continuidad de negocio, editada por Inteco y Deloitte.
BCI
ISO
ISO ISO NIST The IIA
Norma ISO en inglés que sustituye al estándar británico BS 25999, con directrices y requisitos para la implantación de un sistema de gestión de la continuidad de negocio (SGCN). ISO 22301 es la parte certificable.
UNE 71599-2:2010 ASIS Business Continuity Guideline BCI Good Practices
BSI Standard 100-4
DRII Professional Practices FFIEC BCP FISTconference.org BCM Planning Guidelines Guía pymes continuidad de negocio ISO 22301 (requisitos de un SGCN) ISO 22300 (Terminología) ISO 22313 (Buenas prácticas)
ISO/IEC 27031: Norma ISO en inglés, de la serie 27000, con ISO/IEC 27031 directrices para la continuidad de TICs ISO/IEC 24762: Directrices para servicios de recuperación de ISO/IEC 24762 desastres TIC (en inglés). Estándar NIST SP 800-34 sobre planificación de contingencias para NIST SP 800-34 sistemas de información (en inglés). GTAG 10, Guía de gestión de continuidad de negocio del Institute GTAG 10 - Business Continuity of Internal Auditors (en inglés). Management
14.1.2 Continuidad del negocio y evaluación de riesgos. Control:
Se deberían identificar los eventos que puedan causar interrupciones a los procesos de negocio junto con la probabilidad e impacto de dichas interrupciones y sus consecuencias para la seguridad de información. Posibles Soluciones a este control:
direct.gov.uk Government of Saskatchewan
Información sobre continuidad de negocio del gobierno del Reino Unido. "Business Continuity Planning Workbook" del gobierno de la provincia canadiense de Saskatchewan, con especial incidencia en el análisis de impactos. En inglés.
direct.gov.uk BC Planning Workbook
Talking Business Continuity SANS Reading Room
Plantilla en inglés para la realización de un BIA (análisis de impacto en el negocio). Consejos para la realización de un Business Impact Analysis (BIA), en inglés.
BIA Tool
14.1.3 Desarrollo e implantación de planes de continuidad que incluyan la seguridad de la información. Control:
Se deberían desarrollar e implantar planes de mantenimiento o recuperación de las operaciones del negocio para asegurar la disponibilidad de la información en el grado y en las escalas de tiempo requeridos, tras la interrupción o fallo de los procesos críticos de negocio. Posibles Soluciones a este control:
Documento del Business Continuity Institute, en inglés, describiendo las competencias y tareas de los responsables de continuidad de negocio. PD 25111: documento en inglés de BSI que da directrices sobre BSI aspectos de continuidad de negocio relativos a las personas. Documento en inglés que propone una estructura y tareas para un Canadian Centre for Emergency Preparedness equipo de gestión de emergencias. Plantilla en inglés de estrategia de continuidad para un Canadian Centre for Emergency Preparedness determinado escenario de impacto. Documento en inglés con directrices y ejemplos para la Canadian Centre for Emergency Preparedness preparación de un plan de comunicación de crisis.
BCI
Plantilla en inglés de plan de continuidad de negocio y ejemplo Canadian Centre for Emergency Preparedness correspondiente.
Continuity Central
Checklist de continuidad de negocio para pequeñas empresas, en inglés.
Continuity Central
Repositorio de artículos sobre gestión de crisis, en inglés, de Continuity Central.
Continuity Central INEI
Repositorio de artículos sobre continuidad TI, en inglés, de Continuity Central. Guía Práctica para el Desarrollo de Planes de Contingencia de Sistemas de Información del Gobierno de Perú.
Redbooks
IBM System Storage Business Continuity: Part 1 Planning Guide.
Redbooks
IBM System Storage Business Continuity: Part 2 Solutions Guide.
Checklist para pymes, en inglés, sobre aspectos a considerar en los TalkingBusinessContinuity planes de continuidad de negocio.
BCI-Professional Competence PD 25111:2010 Emergency Management Team Set Up Strategy Worksheet Crisis communication plan BCP Template Sample Business continuity and disaster recovery checklist for small business owners Crisis Management: Advanced resources
IT Continuity: Advanced resources Guía contingencia INEI IBM System Storage Business Continuity: Part 1 Planning Guide IBM System Storage Business Continuity: Part 2 Solutions Guide BCM Checklist Tool
14.1.4 Marco de referencia para la planificación de la continuidad del negocio. Control:
Se debería mantener un esquema único de planes de continuidad del negocio para garantizar que dichos planes son consistentes, para tratar los requisitos de seguridad y para identificar las prioridades de prueba y mantenimiento. Posibles Soluciones a este control:
GARTNER
Documento con las 10 mejores prácticas para aplicar la continuidad de negocio y evitar los errores más frecuentes (inglés)
Descarga PDF
14.1.5 Pruebas, mantenimiento y reevaluación de planes de continuidad. Control:
Se deberían probar regularmente los planes de continuidad del negocio para garantizar su actualización y eficacia. Posibles Soluciones a este control:
BSI Shop Canadian Centre for Emergency Preparedness Canadian Centre for Emergency Preparedness Continuity Central Disaster Recovery Journal SISTESEG
PD 25666:2010 es una guía en inglés publicada por BSI, que establece buenas prácticas para la realización de pruebas de planes de continuidad de negocio. Documento en inglés con checklists y consejos para el diseño, gestión y evaluación de pruebas de planes de continuidad de negocio. Ejemplo en inglés de plantilla de evaluación del desarrollo de pruebas de planes de continuidad de negocio. Diversos artículos en inglés de Continuity Central acerca de la prueba de planes de continuidad de negocio. Documento en inglés que establece pautas para la realización de "pruebas de escritorio" (o sobre el papel, sin simulacro real) para verificación de planes de continuidad de negocio. Presentación de la empresa colombiana SISTESEG sobre auditoría de planes de continuidad de negocio y recuperación de desastres (en entorno TI).
PD 25666:2010 EPCB Exercise/Test Methodology Exercise Evaluation Form Continuity Central Disaster Recovery Journal
Presentación de SISTESEG
15. CUMPLIMIENTO. 15.1 Cumplimiento de los requisitos legales. Conformidad Evitar incumplimientos de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requisito de seguridad. El diseño, operación, uso y gestión de los sistemas de información pueden ser objeto de requisitos estatutarios, reguladores y de seguridad contractuales. Los requisitos legales específicos deberían ser advertidos por los asesores legales de la organización o por profesionales adecuadamente cualificados.
Los requisitos que marca la legislación cambian de un país a otro y pueden variar para la información que se genera en un país y se transmite a otro país distinto (por ej., flujos de datos entre fronteras). Obtenga asesoramiento legal competente, especialmente si la organización opera o tiene clientes en múltiples jurisdicciones. Número de cuestiones o recomendaciones de cumplimiento legal, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo). Porcentaje de requisitos externos clave que, mediante auditorías objetivas o de otra forma admisible, han sido considerados conformes.
15.1.1 Identificación de la legislación aplicable. Control:
Todos los requisitos estatutarios, de regulación u obligaciones contractuales relevantes, así como las acciones de la Organización para cumplir con estos requisitos, deberían ser explícitamente definidos, documentados y actualizados para cada uno de los sistemas de información y la Organización. Posibles Soluciones a este control:
Publicaciones en español sobre cuestiones y legislación relevante en la prestación de servicios e intercambio de información con especial atención a los Guías datos de carácter personal y a la protección de la privacidad de los individuos. Guía en español de la Business Software Alliance de argumentos jurídicos Argumentos jurídicos BSA relacionados con los riesgos de utilizar software no legal en las organizaciones. SW legal CNPIC es el órgano director y coordinador de cuantas actividades relacionadas con la protección de las infraestructuras críticas tiene encomendadas la Centro Nacional para la Secretaría de Estado de Seguridad del Ministerio del Interior, a la que está adscrito. El principal objetivo es prestar una eficaz colaboración para mantener CNPIC Protección de las Infraestructuras Críticas seguras las infraestructuras críticas españolas que proporcionan los servicios esenciales a nuestra sociedad. Legislación aplicable, enlaces nacionales e internacionales desde la web del c entro. COMISION DEL Normativa española y europea relevante a los datos personales, CMT MERCADO DE LAS telecomunicaciones y comercio electrónico entre otros. TELECOMUNICACIONES La situación legal de los programas criptológicos varía según los países, y las COMISION DEL leyes que rigen el uso y comercio de estos programas evolucionan con rapidez. Wikitel MERCADO DE LAS Wikitel es un proyecto promovido por la Comisión del Mercado de las TELECOMUNICACIONES Telecomunicaciones (CMT). El comercio electrónico, basado en el tratamiento electrónico y la transmisión de datos, abarca actividades muy diversas que van desde el intercambio de bienes y servicios a la entrega en línea de información digital, pasando por la COMISION DEL Normativa de comercio transferencia electrónica de fondos, la a ctividad bursátil, la contratación MERCADO DE LAS electrónico TELECOMUNICACIONES pública. Wikitel es un proyecto promovido por la Comisión del Mercado de las Telecomunicaciones (CMT). Fundamentos de Seguridad en las telecomunicaciones y ma rco jurídico y COMISION DEL legislación para su uso. Marco jurídico de la MERCADO DE LAS Wikitel es un proyecto promovido por la Comisión del Mercado de las firma electrónica TELECOMUNICACIONES Telecomunicaciones (CMT). Sobre el Fiscal de sala de criminalidad informática y las secciones de Instrucción 2/2011 CRIMINALIDAD
Agencia Española Protección de Datos
INFORM TICA DE LAS criminalidad informática de las fiscalías. FISCALÍAS Listado de legislación vigente realizada por el Centro de Seguridad TIC de CSIRT Comunitat Informes Csirt-CV Comunidad Valenciana. Valenciana En este capítulo desarrollado por Diego González se hace un breve repaso por el estado de los sistemas legales del mundo, en el marco legal de Europa y en el de España. dgonzalez.net DGONZALEZ.NET Se comentan los aspectos legales relacionados con delitos informáticos, y más concretamente, los relacionados con los Sistemas de Detección de Intrusiones. Sumario de legislación relevante a incidentes y medidas relacionadas con la Cyber Incident ENISA Ciberseguridad. Reporting in the EU El ámbito de aplicación del Esquema Nacional de Seguridad es el de las Administraciones Públicas, los ciudadanos en sus relaciones con las mismas y el de las relaciones entre ellas, según se establece en el artículo 2 de la Ley Esquema Nacional de 11/2007. Estarán excluidos de su ámbito de aplicación los sistemas que tratan CCN-CERT Seguridad (España) información clasificada regulada por Ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de desarrollo de la Agencia Española de Protección de Datos y del Consejo de Estado. La Comisión Europea propone una serie de medidas tendentes a reforzar la Protección de EUROPA - Official site prevención, la preparación y la respuesta de la Unión ante ataques terroristas infraestructuras críticas contra infraestructuras críticas. Enlace a una lista de leyes internacionales de privacidad por país y región. informationshield INFORMATION SHIELD (inglés) Guía publicada por INTECO para empresarios acerca de los requisitos legales Guía INTECO INTECO básicos que se deben cumplir a la hora de iniciar un negocio en Internet. Información general sobre la Ley de Servicios de la Sociedad de la Información Ministerio de Industria, y de Comercio Electrónico (LSSI), que ha sido elaborada por la Secretaría de Portal LSSI Estado de Telecomunicaciones y para la Sociedad de la Información del Turismo y Comercio Ministerio de Industria, Turismo y Comercio. El Portal de la Administración Electrónica tiene como objetivo ser el punto único de atención para los ciudadanos, empresas y Administraciones Públicas, coordinando los esfuerzos de contenidos, tecnología y personas hacia la Portal de la Administración consecución del punto único de información de Administración electrónica. PAe Incluye documentos correspondientes a proyectos de normas técnicas Pública relacionadas con el ámbito de la gestión documental, el intercambio de asientos registrales, la firma electrónica y la conexión a la Red de c omunicaciones de las Administraciones Públicas españolas. La Red Iberoamericana de Protección de Datos (RIPD), surge con motivo del acuerdo alcanzado en el Encuentro Iberoamericano de Protección de Datos Red Iberoamericana de RED IBEROAMERICA DE (EIPD) con la asistencia de representantes de 14 países iberoamericanos. Desde protección de datos PROTECCION DE DATOS su portal se puede localizar información de la legislación relevantes y agencias de los 14 países.
15.1.2 Derechos de propiedad intelectual (DPI). Control:
Se deberían implantar procedimientos adecuados que garanticen el cumplimento de la legislación, regulaciones y requisitos contractuales para el uso de material con posibles derechos de propiedad intelectual asociados y para el uso de productos software propietario. Posibles Soluciones a este control:
100% legal Belarc
Portal del Ministerio de Industria español con información sobre software legal, Todosconsoftwarelegal.es enlaces a software libre, etc. Belarc Advisor construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de Belarc Advisor anti-virus, puntos de referencia de seguridad, y muestra los resultados en el
explorador Web. Toda la información del perfil del PC se mantiene privada y no se envía a servidores de la web. Guía en español de la Business Software Alliance de a rgumentos jurídicos Argumentos jurídicos SW BSA relacionados con los riesgos de utilizar software no legal en las organizaciones. legal Guía de buenas prácticas en español, de la Business Software Alliance, para el BSA Best practices BSA control corporativo de activos de software y sus correspondientes licencias. Copyscape es una herramienta online que permite detectar plagios de una página Copyscape Copyscape web (tiene una versión gratuita). Las licencias Creative Commons propocionan alternativas estandarizadas al Creative Commons Creative Commons sistema habitual de propiedad intelectual de "todos los derechos reservados". La aplicación Antiplagio, de EducaRed, permite localizar e identificar Antiplagio EducaRed documentos plagiados a partir del análisis de diferentes fuentes. La Licencia Pública General GNU (GNU GPL) es la licencia de software libre Free Software GNU GPL más utilizada. Foundation Herramienta de realización de inventarios de HW y SW en una red. La versión de Frontrange Discovery Frontrange prueba de 30 días permite hacer un inventario gratuito de hasta 25 PCs. Especificaciones para el etiquetado de software con el objeto de optimizar su Estándar ISO/IEC 19770ISO identificación y gestión. (inglés). 2:2009 Ley de propiedad Ministerio de Cultura Ley de propiedad intelectual española. intelectual Guía del Ministerio de Cultura español sobre cómo implantar medidas en una red Ministerio de Cultura informática para garantizar el cumplimiento del derecho de propiedad intelectual. Guía propiedad intelectual Ley Orgánica 5/2010, de Ministerio de la Modificación de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. 22 de junio Presidencia Herramienta de gestión de activos en red, que ayuda, entre otras cosas, a la ManageEngine gestión de licencias. La versión gratuita tiene un límite de 25 nodos. La versión ManageEngine AssetExplorer de prueba de 30 días, un límite de 250. Microsoft Software Inventory Analyzer es una herramienta que permite hacer un Microsoft Software inventario automatizado de todo el software de Microsoft instalado en un equipo Microsoft Inventory Analyzer o en una red. Guía en español, publicada por Microsoft, sobre aspectos relacionados con el Guía Microsoft SW legal Microsoft software legal: conceptos, legislación, herramientas, etc. Modelos para la comunicación y gestión de incidentes contra la propiedad Sans.org SANS intelectual (inglés). Portal argentino con información, legislación, enlaces, consejos, etc., sobre Software Legal Software Legal software legal. Mapa conceptual del Gráfico que establece un mapa conceptual del software libre. Wikipedia software libre
15.1.3 Protección de los documentos de la organización. Control:
Los registros importantes se deberían proteger de la pérdida, destrucción y falsificación, de acuerdo a los requisitos estatutarios, regulaciones, contractuales y de negocio. Posibles Soluciones a este control:
INTECO
Guía de INTECO sobre la respuesta jurídica frente a ataques de seguridad de la información.
Guía Inteco
15.1.4 Protección de datos y privacidad de la información de carácter personal. Control:
Se debería garantizar la protección y privacidad de los datos y según requiera la legislación, regulaciones y, si fueran aplicables, las cláusulas relevantes contractuales. Posibles Soluciones a este control:
AGENCIA ESPAÑOLA DE PROTECCION DE DATOS
Herramienta de diagnóstico basado en un autotest basado en preguntas con respuesta múltiple. Al final, la Agencia E spañola de Protección de Datos, le facilita un informe con indicaciones y recursos que le orienten, en su caso, para cumplir con lo dispuesto en la LOPD.
EVALUA LOPD
Canal de documentación de la Agencia de Protección de Datos española, con AGENCIA ESPAÑOLA legislación, recomendaciones, informes jurídicos, resoluciones, sentencias, Canal documentación DE PROTECCION DE códigos tipo, etc., relacionados con la Ley Orgánica de Protección de Datos de AGPD DATOS Carácter Personal. La Asociación Profesional Española de Privacidad publica una guía para Asociación Profesional empresas sobre lo que debería cubrir un servicio de consultoría externa de Definición de servicio de Española de Privacidad adecuación a la LOPD española, con el objetivo de ayudar a detectar servicios de consulta LOPD (APEP) consultoría fraudulentos o inadecuados. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Texto LOPD BOE Personal (LOPD). Legislación española. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Texto RDLOPD BOE protección de datos de carácter personal. Legislación española. EPIC es un centro de investigacín de interés público establecido en 1994 que ELECTRONIC EPIC dedica especial atención a la protección de la privacidad y libertades civiles. PRIVACY Guía de Privacidad en EPIC ha recibido premios por la publicación de sus noticias, además de INFORMATION Español reportajes, libros entre otros asuntos de interés. CENTER Sistema de protección de identidad en el ordenador con versión gratuita. Identity Finder localiza números de tarjetas de crédito y contraseñas que son vulnerables al robo de identidad y fraude. Permite buscar los archivos que pueden contener información personal privada como Word, Excel, PowerPoint, Adobe PDF, texto identityfinder IDENTITY FINDER y HTML. Una vez encontrado, el uso de las herramientas permite eliminar definitivamente los archivos, eliminar las contraseñas de Firefox e Internet Explorer para Windows y asegurar la información sensible. El uso adicional de herramientas integradas de seguridad, como la bóveda de identidad File Finder y Shredder para asegurarse de que su identidad está a salvo en su ordenador. Guía Legal sobre Privacidad en Internet. Guía Inteco privacidad INTECO Guía sobre la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) Guía Inteco LOPD INTECO y su correspondiente Reglamento (RDLOPD). Guía para Pymes sobre cómo adaptarse a la normativa sobre protección de datos Guía Inteco LOPD pymes INTECO personales. Guía para entidades locales sobre cómo adaptarse a la normativa sobre protección Guía Inteco LOPD INTECO de datos personales. admon. local Guía destinada a informar a los ciudadanos y a los responsables de ficheros sobre Guía Inteco los requisitos legales que deben cumplir a la hora de instalar cámaras de INTECO videovigilancia videovigilancia. Se desarrolla la Instrucción 1/2006 de la AEPD. Guía legal sobre la protección del derecho al honor, a la intimidad y a la propia Guía Inteco imagen en INTECO imagen en Internet. Internet Surge con motivo del acuerdo alcanzado en el Encuentro Iberoamericano de Protección de Datos (EIPD) celebrado en La Antigua, Guatemala, del 1 al 6 de junio de 2003, con la asistencia de representantes de 14 países iberoamericanos. Red Iberoamericana de La RIPD se constituye como una respuesta a la necesidad de fomentar, mantener Directorio y Legislación Protección de Datos y fortalecer un estrecho y constante intercambio de información, experiencias y por país (RIPD) conocimientos entre los Países Iberoamericanos, a través del diálogo y colaboración en materia de protección de datos de carácter personal. La R IPD se encuentra abierta a todos los países iberoamericanos que deseen promover y
ejecutar iniciativas y proyectos relacionados con esta materia.
SAFE HARBOR
Documentación, acuerdos y legislación relevante a ca da país disponible desde el portal. La directiva de la comisión de la Unión Europea (con efecto desde Octubre de 1998) que prohíbe la transferencia de datos de carácter personal a aquellos países S Department of externos a la propia UE que no reúnan los estándares "a decuados" para la Commerce - SAFE protección de la privacidad y considerando que los Estados Unidos consideran un HARBOR enfoque de protección distinto al de la UE se determinó cumplir con un marco denominado "Safe Harbor" que favorezca de manera fluida que las empresas Consejería comercial de establecidas en EEUU puedan cumplir con las directivas europeas. los EEUU en España
Este website provee la información que una organización necesitaría contemplar (y posteriormente cumplir) en relación al programa U.S.-EU Safe Harbor además de consejerías comerciales disponibles para consulta en todo el mundo
15.1.5 Prevención del uso indebido de recursos de tratamiento de la información. Control:
Se debería disuadir a los usuarios del uso de los recursos dedicados al tratamiento de la información para propósitos no autorizados. (Consultar también 6.1.3 , 8.2.3 , 13.2.3 , 8.1.3 y 7.1.3). Posibles Soluciones a este control:
INTECO
Guía de INTECO en español sobre la utilización de las tecnologías de la información en el ámbito laboral y sus consideraciones legales.
Guía Inteco
15.1.6 Regulación de los controles criptográficos.
Control:
Se deberían utilizar controles cifrados en conformidad con todos acuerdos, leyes y regulaciones pertinentes. Posibles Soluciones a este control:
La situación legal de los programas criptológicos varía según los países, y las COMISION DEL leyes que rigen el uso y comercio de estos programas evolucionan con rapidez. MERCADO DE LAS Wikitel es un proyecto promovido por la Comisión del Mercado de las TELECOMUNICACIONES Telecomunicaciones (CMT).
Wikitel
15.2 Cumplimiento de las políticas y normas de seguridad y cumplimiento técnico.
Garantizar la conformidad de los sistemas con las políticas y estándares de seguridad de la Organización. Se deberían realizar revisiones regulares de la seguridad de los sistemas de información. Las revisiones se deberían realizar según las políticas de seguridad apropiadas y las plataformas técnicas y sistemas de información deberían ser auditados para el cumplimiento de los estándares adecuados de implantación de la seguridad y controles de seguridad documentados. Alinee los procesos de auto-evaluación de controles de seguridad con las auto-evaluaciones de gobierno corporativo, cumplimiento legal y regulador, etc., complementados por revisiones de la dirección y verificaciones externas de buen funcionamiento. Número de cuestiones o recomendaciones de política interna y otros aspectos de cumplimiento, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo). Porcentaje de revisiones de cumplimiento de seguridad de la información sin incumplimientos sustanciales.
15.2.1 Cumplimiento de las políticas y normas de seguridad . Conformidad con la política de Seguridad. Control:
Los directivos se deberían asegurar que todos los procedimientos de seguridad dentro de su área de responsabilidad se realizan correctamente y cumplen con los estándares y políticas de seguridad. (consultar 6.1.8)
15.2.2 Comprobación del cumplimiento técnico. Control:
Se debería comprobar regularmente la conformidad de los sistemas de información con los estándares de implantación de la seguridad. Posibles Soluciones a este control:
Directorio con diversas soluciones recopiladas para la auditoría de sistemas. THE CENTER FOR CIS offers a variety of audit tools for assessing compliance with CIS INTERNET SECURITY Benchmarks. Guía de planeamiento de supervisión de la seguridad y detección de ataques. MICROSOFT Aporta dos ventajas principales para las organizaciones, independientemente de TECHNET su tamaño: la capacidad de identificar ataques de forma instantánea y la ENISA
Enlace CIS Benchmarks Guia MICROSOFT
capacidad de realizar análisis forenses de los sucesos ocurridos antes, durante y después de un ataque. Guía en español, publicada por INTECO-CERT y el CSIRT-cv titulado
CSIRT-cv
―Pentest: Information Gathering‖, sobre técnicas de recopilación de información
PenTest
para tests de penetración.
15.3 Consideraciones sobre las auditorías de los sistemas de información. Maximizar la efectividad del proceso de auditoría de los sistemas de información y minimizar las intromisiones a/desde éste proceso. Deberían existir controles para proteger los sistemas en activo y las herramientas de auditoría durante el desarrollo de las auditorías de los sistemas de información. También se requiere la protección para salvaguardar la integridad y prevenir el mal uso de las herramientas de auditoría. Invierta en auditoría TI cualificada que utilice ISO 27001, COBIT, ITIL, CMM y estándares y métodos de buenas prácticas similares como referencias de comparación. Examine ISO 19011 "Directrices para la auditoría de los sistemas de gestión de la calidad y/o ambiental" como fuente valiosa para la realización de auditorías internas del SGSI. ISO 19011 proporciona un marco excelente para crear un programa de auditorías internas y contiene asimismo las cualificaciones del equipo de auditoría interna. Número de cuestiones o recomendaciones de auditoría, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (a lto, medio o bajo). Porcentaje de hallazgos de auditoría relativos a seguridad de la información que han sido resueltos y cerrados, respecto al total de abiertos en el mismo periodo. Tiempo medio real de resolución/cierre de recomendaciones, respecto a los plazos acordados por la dirección al final de las auditorías.
15.3.1 Controles de auditoría de los sistemas de información. Control:
Se deberían planificar y acordar cuidadosamente los requisitos y actividades de auditoría que impliquen comprobaciones en los sistemas en activo con objeto de minimizar el riesgo de interrupciones de los procesos de negocio. Posibles Soluciones a este control:
THE CENTER FOR CIS offers a variety of audit tools for assessing c ompliance with CIS INTERNET SECURITY Benchmarks. MICROSOFT Guías de seguridad para la auditoría y la monitorización TECHNET
CIS Benchmarks Guia MICROSOFT
15.3.2 Protección de las herramientas de auditoría de los sistemas de información. Control:
Se deberían proteger los accesos a las herramientas de auditoría de los sistemas de información con objeto de prevenir cualquier posible mal uso o compromiso. Posibles Soluciones a este control:
OSSA OSSIM
DSNIFF
L0pht HOLDINGS BACKTRACK
MATRIUX
SANS
IDA PRO
This is a VA / PT report for a fictitious bank called eClipse Bank PLC carried out Vulnerability Assessment by another fictitious company Cynergi Solutions Inc. All names, URLs, IPs, etc & Penetration Test Report are fictitious template Open Source Security Information Management: Colección de herramientas bajo la licencia BSD, diseñadas para ayudar a los administradores de red en la OSSIM seguridad de las computadoras, detección de intrusos y prevención. Collection of tools for network auditing and penetration testing. dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, and webspy passively monitor a network for interesting data (passwords, e-mail, files, etc.). arpspoof, dnsspoof, and macof facilitate the interception of network traffic normally unavailable to an attacker Dsniff (e.g, due to layer-2 switching). sshmitm and webmitm implement active monkeyin-the-middle attacks against redirected SSH and HTTPS sessions by exploiting weak bindings in ad-hoc PKI. Password auditing and recovery. 15 days trial. l0phtcrack BackTrack is intended for all a udiences from the most savvy security professionals to early newcomers to the information security field. BackTrack BackTrack promotes a quick and easy way to find and update the largest database of security tool collection to-date. Fully featured security distribution consisting of a bunch of powerful, open source and free tools that can be used for various purposes including, but not limited to, penetration testing, ethical hacking, system and network Matriux administration, cyber forensics investigations, security testing, vulnerability analysis, and much more. The SANS SIFT Workstation is a VMware Appliance that is pre-configured with all the necessary tools to perform a detailed digital forensic examination. It is compatible with Expert Witness Format (E01), Advanced Forensic Format SANS (AFF), and raw (dd) evidence formats. The brand new version has been completely rebuilt on an Ubuntu base with many additional tools and capabilities that can match any modern forensic tool suite. IDA Pro is a Windows or Linux hosted multi-processor disassembler and IDA Pro debugger that offers so many features it is hard to describe them all.
http://www.iso27000.es/download/ControlesISO27002-2013.pdf
Cloud Computing Controlar la gestión y protección de la información y del mantenimiento de los requisitos de seguridad de los servicios en la nube. El diseño, operación, uso y gestión de los servicios en la nube pueden ser objeto de requisitos estatutarios, reguladores y de seguridad contractuales.
Los requisitos específicos de los clientes deberían ser advertidos por los proveedores de servicios en la nube y compensados con medidas de seguridad adicionales por parte de los clientes cuando sea necesario. Los requisitos deben corresponder con la clasificación e importancia de la información, aplicaciones e infraestructuras prestadas desde la nube. Obtenga asesoramiento técnico competente y adicionalmente jurídico cuando la organización y el prestador de los servicios opera o tiene clientes en múltiples jurisdicciones. Porcentaje de requisitos externos clave que, mediante auditorías objetivas o de otra forma admisible, han sido considerados conformes.
3.1 Auditoría Proceso sistemático, independiente y documentado para obtener evidencias de la auditoría (3.3) y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría 3.2 Criterios de auditoria Conjunto de políticas, procedimientos o requisitos usados como referencia frente a la cual se compara la evidencia de la auditoría (3.3) 3.3 Evidencia de la auditoría Registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de auditoría (3.2) y que es verificable 3.4 Hallazgos de la auditoría Resultados de la evaluación de la evidencia de la auditoría (3.3) recopilada frente a los criterios de auditoría (3.2) 3.5 Conclusiones de la auditoría Resultado de una auditoría (3.1), tras considerar los objetivos de la a uditoría y todos los hallazgos de la auditoría (3.4) 3.6 Cliente de la auditoría Organización o persona que solicita una auditoría (3.1) 3.7 Auditado Organización que es auditada 3.8 Auditor persona que lleva a cabo una auditoría (3.1) 3.9 Equipo auditor uno o más auditores (3.8) que llevan a cabo una auditoría (3.1), con el apoyo, si es necesario, de expertos técnicos (3.10). 3.10 Experto técnico Persona que aporta conocimientos o experiencia específicos al equipo auditor (3.9)
3.11 Observador Persona que acompaña al equipo auditor (3.9) pero que no audita.
3.12 Guía Persona designada por el auditado (3.7) para asistir al equipo auditor (3.9) 3.13 Programa de auditoría Detalles acordados para un conjunto de una o más auditorías (3.1) planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico. 3.14 Alcance de la auditoría Extensión y límites de una auditoría (3.1) 3.15 Plan de auditoría Descripción de las actividades y de los detalles acordados de una auditoría (3.1) 3.16 Riesgo Efecto de la incertidumbre sobre los objetivos 3.17 Competencia Capacidad para aplicar conocimientos y habilidades para alcanzar los resultados pretendidos 3.18 Conformidad Cumplimiento de un requisito 3.19 No conformidad Incumplimiento de un requisito 3.20 Sistema de gestión Sistema para establecer la política y los objetivos y para lograr dichos objetivos.
Principios: a) Integridad b) Presentación imparcial: c) Debido cuidado profesional: d) Confidencialidad: e) Independencia: f) Enfoque basado en la evidencia:
PROGRAMA DE AUDITORIA
6 Realización de una auditoría
A.7 Ejemplo ilustrativo de conocimientos y habilidades específicos de la disciplina de los auditores de gestión de la seguridad de la información Los conocimientos y habilidades relacionados con la disciplina y la aplicación de métodos, técnicas, procesos y prácticas específicos de la disciplina deberían ser los suficientes para permitir al auditor examinar el sistema de gestión y generar los hallazgos y conclusiones de la auditoría apropiados. Son ejemplos: — las directrices de normas tales como ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005; — la identificación y evaluación de los requisitos del cliente y de las partes interesadas; — las leyes y reglamentos que tratan la seguridad de la información (por ejemplo, propiedad
intelectual, contenido, protección y retención de los registros de la organización; protección y privacidad de datos; reglamentos de controles criptográficos; antiterrorismo; comercio electrónico; firma electrónica y digital; Vigilancia en el puesto de trabajo; ergonomía del lugar de trabajo; intercepción de las telecomunicaciones y seguimiento de los datos (por ejemplo, correo electrónico), mal uso del equipo informático, recopilación de evidencias electrónicas, ensayos de vulnerabilidad, etc.; — los procesos, la ciencia y la tecnología subyacentes a la gestión de la seguridad de la información; — la evaluación del riesgo (identificación, análisis y evaluación) y tendencias en tecnología, amenazas y vulnerabilidades; — la gestión del riesgo en la seguridad de la información; — los métodos y las prácticas para los controles (electrónicos y físicos) de la seguridad de la información; — los métodos y las prácticas para la integridad y confidencialidad de la información; — los métodos y las prácticas para la medición y evaluación de la eficacia del sistema de gestión de la seguridad de la información y los controles asociados; — los métodos y las prácticas para la medición, seguimiento y registro del desempeño (incluyendo pruebas, auditorías y revisiones). NOTA Para más información, véanse las normas relacionadas desarrolladas por el Subcomité Técnico ISO/IEC JTC 1/SC 27 sobre gestión de la seguridad de la información.
SO/IEC 27003 – Guía para la implementación de un Sistema de Gestión de Seguridad de la Información.
17 enero, 2014 · Escrito por admin iso 27001:2013, 27001:2013, Normas relacionadas
ISO 27003 ISO 27003 es un estándar internacional que constituye una guía para la implantación de un SGSI. Se trata de una norma adaptada tanto para los que quieren lanzarse a implantar un SGSI como para los consultores en su trabajo diario, debido a que resuelve ciertas cuestiones que venían careciendo de un criterio normalizado.
ISO-27003 focaliza su atención en los aspectos requeridos para un diseño exitoso y una buena implementación del Sistema de Gestión de Seguridad de la Información – SGSI – según el estándar ISO 27001. - See more at: http://www.pmg-ssi.com/2014/01/isoiec-27003-guia-para-la-implementacion-deun-sistema-de-gestion-de-seguridad-de-la-informacion/#sthash.WcsgfVoe.dpuf
Contiene una descripción del proceso de delimitación del SGSI, y además el diseño y ejecución de distintos planes de implementación. Especifica el proceso de conseguir una aprobación para la implementación de un SGSI, define el proyecto para dicho acometido, el cual es llamado en la norma ISO 27003 proyecto de SGSI, y da instrucciones sobre cómo abordar la planificación de la gestión para implementar el SGSI. La norma tiene el siguiente contenido: 1. 2. 3. 4. 5. 6. 7. 8. 9.
Alcance. Referencias Normativas. Términos y Definiciones. Estructura de esta Norma. Obtención de la aprobación de la alta dirección para iniciar un SGSI. Definición del alcance del SGSI, límites y políticas. Evaluación de requerimientos de seguridad de la información. Evaluación de Riesgos y Plan de tratamiento de riesgos. Diseño del SGSI.
Anexo A: lista de chequeo para la implementación de un SGSI. Anexo B: Roles y responsabilidades en seguridad de la información Anexo C: Información sobre auditorías internas. Anexo D: Estructura de las políticas de seguridad. Anexo E: Monitoreo y seguimiento del SGSI. - See more at: http://www.pmg-ssi.com/2014/01/isoiec-27003-guia-para-laimplementacion-de-un-sistema-de-gestion-de-seguridad-de-lainformacion/#sthash.WcsgfVoe.dpuf
2. La serie 27000 A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044. • ISO 27000:
En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste. • ISO 27001:
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. Otros países donde también está publicada en español son, por ejemplo, Colombia , Venezuela y Argentina. El original en inglés y la traducción al francés pueden adquirirse en ISO.org. • ISO 27002:
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita). El original en inglés y su traducción al francés pueden adquirirse en ISO.org. • ISO 27003: En
fase de desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá en una guía de implementación de SGSI e información acerca del uso del
modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación. • ISO 27004:
En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase ―Do‖ (Implementar y Utilizar) del ciclo PDCA. • ISO 27005: Publicada
el 4 de Junio de 2008. Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. El conocimiento de los conceptos, modelos, procesos y términos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información. Su publicación revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en ISO.org. • ISO 27006:
Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en ISO.org.
ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI. • ISO 27011: En
fase de desarrollo; su fecha prevista de publicación es finales de 2008. Consistirá en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones). • ISO 27031: En
fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.
• ISO 27032: En
fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía relativa a la ciberseguridad. • ISO 27033: En
fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. Provendrá de la revisión, ampliación y renumeración de ISO 18028. • ISO 27034 :
En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía de seguridad en aplicaciones. • ISO 27799: Publicada
el 12 de Junio de 2008. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma.
ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de información personal de salud. ISO 27799:2008 se aplica a la información en salud en todos sus aspectos y en cualquiera de sus formas, toma la información (palabras y números, grabaciones sonoras, dibujos, vídeos y imágenes médicas), sea cual fuere el medio utilizado para almacenar (de impresión o de escritura en papel o electrónicos de almacenamiento ) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informáticas o por correo), ya que la información siempre debe estar adecuadamente protegida. El original en inglés o francés puede adquirirse en ISO.org.
Beneficios
Si desea acceder a las normas completas, debe saber que éstas no son de libre difusión sino que han de ser adquiridas. Para los originales en inglés, puede hacerlo online en la tienda virtual de la propia organización: iso.org
Adicionalmente existe la opción de una previsualización del índice con los contenidos de los originales publicados online en la tienda virtual oficial: webstore.iec.ch Las normas en español pueden adquirirse en España en AENOR , así como en otras entidades de normalización nacionales y responsables de la publicación traducida de los estándares internacionales de mayor interés a nivel local. Esto explica la salida de publicaciones traducidas tan dispar en el tiempo y según el país. Las entidades de normalización responsables de la publicación y venta de normas en cada país hispanoamericano (es decir, las homólogas del AENOR español) las puede encontrar listadas en nuestra sección de "Enlaces", bajo "Acreditación y Normalización".
ISO/IEC 27000:
Publicada el 1 de Mayo de 2009, revisada con una segunda edición de 01 de Diciembre de 2012 y una tercera edición de 14 de Enero de 2014. Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie de normas 27000 y aporta las bases de por qué es importante la implantación de un SGSI, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI (la última edición no aborda ya el ciclo Plan-Do-Check-Act para evitar convertirlo en el único marco de referencia para la mejora continua). Exiten versiones traducidas al español aunque hay que prestar atención a la versión descargada. El original en inglés y su traducción al francés en su versión de 2014 puede descargarse gratuitamente de standards.iso.org/ittf/PubliclyAvailableStandards .
ISO/IEC 27001:
Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en E spaña como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR (también en lengua gallega). En 2009, se publicó un documento adicional de modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros países donde también está publicada en español son, por ejemplo, Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC 27001), Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001), México (NMX-I-041/02-NYCE) o Uruguay (UNIT-ISO/IEC 27001). El original en inglés y la traducción al francés pueden adquirirse en iso.org.
Actualmente, la última edición de 2013 este estándar se encuentra en inglés y en francés tras su acuerdo de publicación el 25 de Septiembre de 2013.
ISO/IEC 27002:
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 c ontiene un anexo que resume los controles de ISO 27002:2005. Publicada en España como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 (a la venta en AENOR ). Otros países donde también está publicada en español son, por ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002), Uruguay (UNIT-ISO/IEC 27002) o Perú (como ISO 17799; descarga gratuita). El original en inglés y su traducción al francés pueden adquirirse en iso.org.
Actualmente, la última edición de 2013 este estándar ha sido actualizada a un total de 14 Dominios, 35 Objetivos de Control y 114 Controles publicándose inicialmente en inglés y en francés tras su acuerdo de publicación el 25 de Septiembre de 2013.
ISO/IEC 27003:
Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificación y diseño desde la concepción hasta la puesta en marcha de planes de implementación, así como el proceso de obtención de aprobación por la dirección para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación. En España, esta norma aún no está traducida, pero sí en Uruguay (UNIT-ISO/IEC 27003). El original en inglés puede adquirirse en iso.org.
ISO/IEC 27004:
Publicada el 15 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001. En España, esta norma aún no está traducida, sin embargo sí lo está en Argentina (IRAM-ISO-IEC 27004) o Uruguay (UNIT-ISO/IEC 27004). El original en inglés puede adquirirse en iso.org
ISO/IEC 27005:
Publicada en segunda edición el 1 de Junio de 2011 (primera edición del 15 de Junio de 2008). No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001:2005 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. Su primera publicación revisó y retiró las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000. El original en inglés puede adquirirse en iso.org. En España, esta norma no está traducida, sin embargo, sí lo está, para la versión de 2008, en países como México (NMX-I-041/05-NYCE), Chile (NCh-ISO27005), Uruguay (UNITISO/IEC 27005) o Colombia (NTC-ISO-IEC 27005).
ISO/IEC 27006:
Publicada en segunda edición el 1 de Diciembre de 2011 (primera edición del 1 de Marzo de 2007). Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001:2005 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma. El original en inglés puede adquirirse en iso.org. En España, esta norma no está traducida, sin embargo, sí lo está, para la versión de 2007, en México (NMX-I-041/06-NYCE) o Chile (NCh-ISO27001). Actualmente ha iniciado un nuevo periodo de revisión para una nueva versión 3.
ISO/IEC 27007:
Publicada el 14 de Noviembre de 2011. No certificable. Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011. En España, esta norma no está traducida. El original en inglés puede adquirirse en iso.org
ISO/IEC TR 27008:
Publicada el 15 de Octubre de 2011. No certificable. Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. En España, esta norma no está traducida. El original en inglés puede adquirirse en iso.org
ISO/IEC 27009:
En estado de desarrollo. No certificable. Es una guía sobre el uso y aplicación de los principios de ISO/IEC 27001 para el sector servicios especifícos en emisión de certificaciones acreditadas de tercera parte.
ISO/IEC 27010:
Publicada el 20 de Octubre de 2012. Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio y difusión de información sensible, tanto públicas como privadas, a nivel nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores. En particular, puede ser aplicable a los intercambios de información y participación en relación con el suministro, mantenimiento y protección de una organización o de la infraestructura crítica de los estados y naciones.
ISO/IEC 27011:
Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002:2005. Está publicada también como norma ITU-T X.1051. En España, no está traducida. El original en inglés puede adquirirse en iso.org.
ISO/IEC 27013:
Publicada el 15 de Octubre de 2012. Es una guía de implementación integrada de ISO/IEC 27001:2005 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI).
ISO/IEC 27014:
Publicada el 23 de Abril de 2013. Consistirá en una guía de gobierno corporativo de la seguridad de la información.
ISO/IEC TR 27015:
Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002:2005.
ISO/IEC TR 27016:
En fase de desarrollo, con publicación prevista en 2014. Consistirá en una guía de valoración de los aspectos financieros de la seguridad de la información.
ISO/IEC TS 27017:
En fase de desarrollo, con publicación prevista en 2014. Consistirá en una guía de seguridad para Cloud Computing.
ISO/IEC 27018:
En fase de desarrollo, con publicación prevista en 2014. Consistirá en un código de buenas prácticas en controles de protección de datos para servicios de computación en cloud computing.
ISO/IEC TR 27019:
Publicada el 17 de Julio de 2013. Guía con referencia a ISO/IEC 27002:2005 para el proceso de sistemas de control específicos relacionados con el sector de la industria de la energía.
ISO/IEC 27031:
Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la adecuación de las tecnologías de información y comunicación (TIC) de una organización para la continuidad del negocio. El documento toma como referencia el estándar BS 25777. En España, esta norma no está traducida. El original en inglés puede adquirirse en iso.org
ISO/IEC 27032:
Publicada el 16 de Julio de 2012. Proporciona orientación para la mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Información de seguridad, seguridad de las redes, seguridad en Internet e información de protección de infraestructuras críticas (CIIP). Cub re las prácticas de seguridad a nivel básico para los interesados en el ciberespacio. Esta norma establece una descripción general
de Seguridad Cibernética, una explicación de la relación entre la ciberseguridad y otros tipos de garantías, una definición de las partes interesadas y una descripción de su papel en la seguridad cibernética, una orientación para abordar problemas comunes de Seguridad Cibernética y un marco que permite a las partes interesadas a que colaboren en la solución de problemas en la ciberseguridad.
ISO/IEC 27033:
Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 15 de Diciembre de 2009 y disponible en iso.org); 27033-2, directrices de diseño e implementación de seguridad en redes (publicada el 27 de Julio de 2012 y disponible en iso.org); 27033-3, escenarios de referencia de redes ( publicada el 3 de Diciembre de 2010 y disponible en iso.org); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs (publicada 29 de Julio de 2013 y disponible en iso.org); 27033-6, convergencia IP (prevista para 2014); 27033-7, redes inalámbricas (prevista para 2014).
ISO/IEC 27034:
Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas, consistente en 6 partes: 27034-1, conceptos generales (publicada el 21 de Noviembre de 2011 y disponible en iso.org); 27034-2, marco normativo de la organización (sin previsión de publicación); 27034-3, proceso de gestión de seguridad en aplicaciones (sin previsión de publicación); 27034-4, validación de la seguridad en aplicaciones (sin previsión de publicación); 27034-5, estructura de datos y protocolos y controles de seguridad de aplicaciones (sin previsión de publicación); 27034-6, guía de seguridad para aplicaciones de uso específico.
ISO/IEC 27035:
Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de incidentes de seguridad en la información. En España, no está traducida. El original en inglés puede adquirirse en iso.org.
ISO/IEC 27036:
En fase de desarrollo, con publicación prevista a partir de 2013. Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC (publicada el 08 de Noviembre de 2013 y disponible en iso.org); 27036-4, seguridad en entornos de servicios Cloud.
ISO/IEC 27037:
Publicada el 15 de Octubre de 2012. Es una guía que propociona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros dispositvos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones.
ISO/IEC 27038:
En fase de desarrollo, con publicación prevista en 2014. Consistirá en una guía de especificación para seguridad en la redacción digital.
ISO/IEC 27039:
En fase de desarrollo, con publicación prevista en 2014. Consistirá en una guía para la selección, despliege y operativa de sistemas de detección y prevención de intrusión (IDS/IPS).
ISO/IEC 27040:
En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía para la seguridad en medios de almacenamiento.
ISO/IEC 27041:
En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía para la garantizar la la idoneidad y adecuación de los métodos de investigación.
ISO/IEC 27042:
En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía con directrices para el análisis e interpretación de las evidencias digitales.
ISO/IEC 27043:
En fase de desarrollo, con publicación prevista no antes de 2014. Desarrollará principios y procesos de investigación.
ISO/IEC 27044:
En fase de desarrollo, con publicación prevista no antes de 2014. Gestión de eventos y de la seguridad de la información Security Information and Event Management (SIEM).
ISO 27799:
Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002:2005, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. El original en inglés o francés puede adquirirse en iso.org. Desde el 20 de Enero de 2010, esta norma está publicada en España como UNE-ISO/IEC 27799:2010 y puede adquirirse online en AENOR
A partir del 15 de julio las farmacias de la red de la Confederación Farmacéutica Argentina que quieran trazar desde nuestra web deberán hacerlo exclusivamente a través del Nuevo Sistema de Trazabilidad. Para ello deben acceder a INGRESO A SERVICIOS (NCR) con su número de PAMI y clave habitual y chequear que los datos de la trazabilidad sean correctos en la opción “Cambiar Claves”: esencialmente los ítems GLN/Usuario y clave ANMAT.
Recordamos que esta nueva versión es más simple para las farmacias ya que con solo elegir un período el sistema devuelve todos los medicamentos que la droguería asigno a la farmacia entre esas fechas. Luego con un simple click se traza la recepción de dicho medicamento; y para la dispensa se puede buscar el medicamento por nombre o Gtin y con el requerimiento de un par de datos adicionales se traza. Las farmacias que por no ser prestadoras del convenio PAMI a través de la COFA no tienen asignado un usuario y clave de INGRESO A SERVICIOS, pueden llamar a la Mesa de Ayuda COFA (011-4331-3514) para que se le de el alta en el sistema. Con la vigencia plena de este nuevo sistema, la anterior versión ha quedado desactivada. Ingreso a Servicios COFA 1. ¿Cuáles son los agentes alcanzados por el Sistema Nacional de Trazabilidad? El “Sistema Nacional de Trazabilidad de Medicamentos” deberá ser implementado por la totalidad de las
personas físicas o jurídicas que intervengan en la cadena de comercialización, distribución y dispensación de especialidades medicinales (laboratorios, distribuidoras, operadores logísticos,
droguerías, farmacias, establecimientos asistenciales y laboratorios elaboradores de soluciones nutricionales de uso inmediato).-
2. ¿Qué especialidades medicinales se deben trazar? Todas aquellas incluidas en el Anexo I de la Disposición ANMAT Nº 3683/11 y de la Disposición ANMAT Nº 1831/12, como así también toda nueva especialidad medicinal que en el futuro se registre y que no tenga similar en el país, cualquiera sea su ingrediente farmacéutico activo (IFA).
3. ¿Desde dónde debe comenzar la trazabilidad? La trazabilidad debe comenzar desde el primer eslabón en que se encuentre el producto terminado, sea éste importado o nacional. Por lo general, será el laboratorio titular. No obstante, en los casos en que el producto ingrese directamente desde la aduana hasta la distribuidora, ésta deberá habilitar una estructura como laboratorio de acondicionamiento secundario, donde se efectuará la colocación del soporte con el código unívoco requerido por la normativa. Cada laboratorio que envíe productos a dicho espacio deberá asignarle un GLN, siendo responsable por la colocación y utilización de los códigos, sin perjuicio de la tercerización de la actividad efectuada. En caso contrario, debe partir siempre del laboratorio titular.-
4. ¿Cuál es el primer evento a informar? No es necesario que se informen los movimientos internos del laboratorio titular, sino desde que se produce un movimiento físico de los productos, sea entre plantas propias del laboratorio o a un tercero (p. ej. distribuidora). En caso de que los productos sean enviados a un tercero en cuarentena, debe especificarse esta situación mediante un evento específico previsto en el sistema. Si el producto importado o elaborado localmente se encuentra dentro de la planta del laboratorio titular del registro en carácter de cuarentena, y no registra movimientos físicos hasta tanto se levante este estado, el primer evento a informar será la “distribución del producto a un eslabón posterior”. - Si bien no es obligatorio, el laboratorio puede informar la puesta en cuarentena y el levantamiento de la misma dentro de su depósito.
5. ¿Cómo deberán codificar los laboratorios titulares de certificados de registro de las especialidades medicinales alcanzados por el Sistema Nacional de Trazabilidad Los laboratorios titulares deberán colocar, en el empaque de cada una de las unidades de venta al público, un soporte o dispositivo con capacidad para almacenar un código unívoco, según las recomendaciones del estándar GS1, que contenga la siguiente información:
• GTIN o código comercial del producto • Número de serie hasta veinte (20) caracteres alfanuméricos • Los correspondientes identificadores de aplicación: (01) para GTIN y (21) para
serie.
6. Si el que inicia la trazabilidad es el laboratorio titular de certificados de Registro de Especialidades Medicinales incluidas en el Anexo I de las Disposiciones Nº 3683/2011 y 1831/2012 ¿la droguería deberá adicionar una nueva etiqueta de trazabilidad? Las droguerías sólo podrán identificar especialidades medicinales no alcanzadas por las normas mencionadas cuando aquéllas fueran adquiridas a laboratorios, distribuidoras u operadores logísticos, debiendo en tal caso proceder de acuerdo a lo establecido en el artículo 3° de la Disposición ANMAT N° 3683/2011, a saber: • GLN o código de ubicación física del establecimiento. • Número de serie hasta siete (7) caracteres alfanuméricos. • Los correspondientes identificadores de aplicación: (414) para GLN y
(21) para serie. Las droguerías no pueden implementar mecanismos y/o sistemas de trazabilidad que no se ajusten a los requisitos establecidos en las normas antedichas, como así también la colocación del logo, nombre o cualquier otra identificación del establecimiento de que se trate en el soporte de trazabilidad utilizado, con excepción de la indicación del laboratorio titular.
7. ¿Cuáles son los plazos previstos para la implementación de la Disposición Nº 3683/2011? Desde laboratorio hasta droguería y desde droguería hasta farmacia, el plazo máximo para la implementación vence el 15 de Diciembre de 2011. Con fecha posterior a ésta, no deberán recibirse los medicamentos alcanzados en el Anexo I de la Disposición Nº 3683/2011 que no posean identificación unívoca de GTIN (Global Trade Item Number) + seriado.- Para la validación del sistema, desde el laboratorio titular hasta la dispensa al paciente, el plazo máximo para la implementación vence el 15 de junio de 2012.-
8. ¿Los laboratorios titulares pueden utilizar cualquier portador de datos o se recomienda alguno en particular? Los agentes alcanzados deberán colocar, en el empaque de cada una de las unidades de venta al público, un soporte o dispositivo con capacidad para almacenar un código univoco según las recomendaciones del estándar GS1. En todos los casos, en adición al portador, se deberá incorporar el código visible, en caracteres alfanuméricos para legibilidad humana, de forma tal que permita la verificación por parte de los pacientes. No obstante, los establecimientos que incorporen los soportes o dispositivos físicos con capacidad para identificar unívocamente especialidades medicinales, deberán garantizar que el mismo no pueda ser removido sin dejar una marca evidente en el empaque, que permita advertir que este último ha sido violado.
9. ¿Qué códigos deben ser utilizados por las farmacias, los establecimientos asistenciales, los laboratorios de mezclas intravenosas y los depósitos estatales, en lugar del GLN? Dichos agentes podrán utilizar también un GLN otorgado por GS1 o un subGLN derivado del mismo, o bien deberán utilizar un Código de Ubicación Física de Establecimiento (CUFE) para poder interactuar con el Sistema. En caso de no poseer aún este código, deberán solicitarlo a través de
[email protected] o a la mesa de ayuda (0800-333-89633). El otorgamiento del CUFE se efectúa sin costo alguno, debiendo acreditar tan sólo la habilitación sanitaria respectiva que califica al establecimiento para incorporarse al Sistema.
10. ¿Qué datos serán ingresados al sistema de ANMAT cuando se realiza dispensa al paciente? En el caso de provisión a pacientes, la farmacia o establecimiento asistencial proveedor deberá consignar que la entrega fue efectuada a un paciente, con los datos correspondientes a la obra social o prepaga y el número de afiliado. Se omitirán sus datos personales por cuestiones de reserva y confidencialidad, sin perjuicio de conservar por separado dicha información para el caso de ser necesario contactar al paciente a los efectos de prevenir cualquier riesgo a su salud y/o vida, o de realizar el recupero del mercado de unidades que le fueran entregadas.
11. ¿Cuáles son los movimientos logísticos que deberán informar los agentes alcanzados? • Código deteriorado/destruido.- • Envío y recepción de productos en carácter de devolución. - •
Distribución del producto a un eslabón posterior y recepción del producto desde un eslabón anterior.- • Envío y recepción de productos entre depósitos propios. - • Envío y recepción d e productos en cuarentena.- • Producto destinado a muestra médica. - • Producto destinado a ensayo clínico.- • Producto destinado a exportación. - • Producto robado/extraviado. - • Reingreso del producto a stock.- • Dispensación del producto al paciente. - • L evantamiento de cuarentena.Los eventos de producto prohibido y retirado del mercado serán informados por la ANMAT y los productos vencidos serán informados automáticamente por el sistema, a fin de que el agente proceda acorde a normativas sanitarias jurisdiccionales.-
12. ¿Existe un software en particular a ser implementado por los agentes? El software puede ser desarrollado por cada establecimiento, teniendo en cuenta los requerimientos técnicos que figuran en el link de trazabilidad, paso 1 (prueba de servicios y especificación técnica). Si el agente trabaja con pocas unidades, también podrá manejarse sin software propio mediante la carga manual de datos a través del portal (sólo se requiere conexión a internet y usuario y
clave). En caso de contratar a terceros a los efectos de implementar el sistema, la empresa resulta no obstante responsable por cualquier irregularidad o incumplimiento que se genere.
13. ¿Quién genera el código seriado? El código seriado lo genera el software de cada agente.-
14. ¿Qué datos deberá informar cada agente a la Base de Datos? Los laboratorios y las personas físicas o jurídicas que intervengan en la cadena de distribución y dispensación de las especialidades medicinales alcanzadas por el Sistema Nacional de Trazabilidad deberán, para poder comercializar, distribuir y dispensar las mismas, sin excepción, asociar al código unívoco los siguientes datos de la distribución: • Número de lote. - • Fecha de vencimiento. - • Código del destinatario (GLN u otro, según
corresponda). En el caso de provisión a pacientes, la farmacia o establecimiento asistencial proveedor deberá consignar que la entrega fue efectuada a un paciente, código RNOS y número de afiliado si fuera con cobertura de salud. Los datos del mismo serán debidamente disociados y almacenados, garantizando la confidencialidad necesaria.• Domicilio del destinatario (domicilio efectivo de entrega). - • Fecha de entrega. - • Factura y
remito asociado a la operación de distribución o dispensa.-
15. ¿Las obras sociales y empresas de medicina prepaga forman parte del Sistema? NO, estas instituciones no son establecimientos sanitarios. Solamente deberán verificar que las empresas que contraten cumplan con las exigencias de trazabilidad, conforme surge de la Resolución N° 594/11 de la Superintendencia de Servicios de Salud.-
16. En el caso de medicamentos incluidos en el Sistema Nacional de Trazabilidad, los establecimientos asistenciales que fraccionan especialidades medicinales y aquellos laboratorios elaboradores de soluciones nutricionales de uso inmediato, ¿podrán ingresar a la base de datos de la ANMAT más de un paciente destino? Para estos dos agentes está previsto que puedan ingresar la totalidad de pacientes destinatarios en la base de datos de la ANMAT.-
17. ¿Cómo deberán informarse al sistema las muestras médicas? El laboratorio, operador logístico o distribuidora podrá informar que determinadas series son destinadas a muestras médicas, informando los datos del agente de propaganda médica que las recibe. Cabe recordar
que únicamente se deben trazar aquellas muestras médicas que tienen la misma presentación que la unidad de venta.-
18. En los estudios clinicos ¿se deben trazar los comparadores? Es obligatorio trazar los comparadores incluidos en los protoc olos de investigación que tengan IFA’S involucradas en las disposiciones antes mencionadas.
19. ¿Se deben trazar los productos destinados a exportación? Queda a criterio del laboratorio titular. En caso de trazarlo, está creado el evento para poder informarlo.
20. El sistema de trazabilidad ¿reemplaza al troquel? La información contenida en el soporte de trazabilidad, incorporado en función de las disposiciones ANMAT N° 3683/2011 o Nº 1831/12, reemplazará la información actualmente contenida en el troquel de las especialidades medicinales alcanzadas, sustituyéndolo en su utilización.
21. ¿Se debe colocar algún tipo de precinto o etiqueta de seguridad a las especialidades medicinales? TODAS las especialidades medicinales de VENTA BAJO RECETA deberán contar con un sistema de seguridad del envase, el cual deberá ser inviolable e impedir la apertura de los mismos hasta el momento de su uso y contar con medidas de seguridad que impidan su replicación, de manera de asegurar que el envase secundario contenga efectivamente el producto elaborado por el titular.
22. ¿Dónde pueden evacuarse dudas respecto del Sistema Nacional de Trazabilidad? Toda la información disponible se encuentra en el link del “Sistema Nacional de Trazabilidad”
(http://www.anmat.gov.ar/trazabilidad/principal.asp). Para consultas por el marco regulatorio o la aplicación “logística” o farmacéutica de la normativa, es posible contactarse a
[email protected]. Para consultas por cuestiones de aplicación informática, también con la mesa de ayuda al 0800-333-89633.-
Volver Gestión Administrativa Registro de Audiencias Accesibilidad Descargar Acrobat Reader Avenida de Mayo 869 (C1084AAD) - Ciudad Autónoma de Buenos Aires - Argentina - Tel: 54-114340-0800
y back-end — — traducibles traducibles al español como interfaz y motor, respectivamente — son términos que se relacionan con el principio y el final de un proceso un proceso.. Estos términos adquieren una relevancia mayor en ciertas áreas particulares.
Front-end
Informática
En diseño de software el front-end es la parte del software que interactúa con el o los usuarios y el back-end es es la parte que procesa la entrada desde el front-end . La separación del sistema en front-ends y back-ends es un tipo de abstracción que ayuda a mantener las diferentes partes del sistema separadas. La idea general es que el front-end sea el responsable de recolectar los datos de entrada del usuario, que pueden ser de muchas y variadas formas, y los transforma ajustandolos a las especificaciones que demanda el backend para poder procesarlos, devolviendo generalmente una respuesta que el front-end recibe y expone al usuario de una forma entendible para este. La conexión del front-end y el backend es un tipo de interfaz interfaz..
Capas y niveles 1. Capa de presentación: es presentación: es la que ve el usuario (también se la denomina "capa de usuario"), presenta el sistema al usuario, le comunica la información y captura la información del usuario en un mínimo de proceso (realiza un filtrado previo para comprobar que no hay errores de formato). También es conocida como interfaz gráfica y debe tener la característica de ser "amigable" (entendible y fácil de usar) para el usuario. Esta capa se comunica únicamente con la capa de negocio. 2. Capa de negocio: es negocio: es donde residen los programas que se ejecutan, se reciben las peticiones del usuario y se envían las respuestas tras el proceso. Se denomina capa de negocio (e incluso de lógica del negocio) porque es aquí donde se establecen todas las reglas que deben cumplirse. Esta capa se comunica con la capa de presentación, para recibir las solicitudes y presentar los resultados, y con la capa de datos, para solicitar al gestor de base de datos almacenar o recuperar datos de él. También se consideran aquí los programas de aplicación. 3. Capa de datos: es datos: es donde residen los datos y es la encargada de acceder a los mismos. Está formada por uno o más gestores de bases de datos que realizan todo el almacenamiento de datos, reciben r eciben solicitudes de almacenamiento o recuperación de información desde la capa de negocio.
ava EE Java Platform, Enterprise Edition o Java EE (anteriormente conocido como Java 2 Platform, Enterprise Edition o J2EE hasta la versión 1.4; traducido informalmente como Java Empresarial), es una plataforma de programación — parte de la Plataforma Java — para desarrollar y ejecutar software de aplicaciones aplic aciones en el lenguaje de programación Java Java.. Permite utilizar arquitecturas de N capas distribuidas y se apoya ampliamente en componentes de software modulares ejecutándose sobre un servidor de aplicaciones. aplicaciones. La plataforma Java EE está definida por una especificación. Similar a otras especificaciones del Java Community Process, Process, Java EE es también considerada informalmente como un
estándar debido a que los proveedores deben cumplir ciertos requisitos de conformidad para declarar que sus productos son conformes a Java EE ; estandarizado estandarizado por por The The Java Community Process / JCP. JCP. Java EE tiene varias especificaciones de API API,, tales como JDBC JDBC,, RMI RMI,, e-mail e-mail,, JMS JMS,, Servicios Web, Web, XML XML,, etc y define cómo coordinarlos. Java EE también configura algunas especificaciones únicas para Java EE para componentes. Estas incluyen Enterprise JavaBeans,, servlets JavaBeans servlets,, portlets (siguiendo la especificación de Portlets Java), JavaServer Pages y varias tecnologías de servicios web. Ello permite al desarrollador crear una Aplicación de Empresa portable Empresa portable entre plataformas y escalable, a la vez que integrable con tecnologías anteriores. Otros beneficios añadidos son, por ejemplo, que el servidor de aplicaciones puede manejar transacciones, la seguridad, escalabilidad, concurrencia y gestión de los componentes desplegados, significando que los desarrolladores pueden concentrarse más en la lógica de negocio de los componentes en lugar de en tareas de mantenimiento de bajo nivel. En telecomunicaciones y en ingeniería informática, informática, la escalabilidad es la propiedad deseable de un sistema, una red o un proceso, que indica su habilidad para reaccionar y adaptarse sin perder calidad, o bien manejar el crecimiento continuo de trabajo de manera fluida, o bien para estar preparado para hacerse más grande sin perder calidad en los servicios ofrecidos. En general, también se podría definir como la capacidad del sistema informático de cambiar su tamaño o configuración para adaptarse a las circunstancias cambiantes. cambiantes.1 Por ejemplo, una Universidad que establece una red de usuarios por Internet por Internet para para un edificio de docentes y no solamente quiere que su sistema informático tenga capacidad para acoger a los actuales clientes que son todos profesores, sino también a los clientes que pueda tener en el futuro dado que hay profesores visitantes que requieren de la red por algunas aplicaciones académicas, para esto es necesario implementar soluciones que permitan el crecimiento de la red sin que la posibilidad de su uso y reutilización disminuya o que pueda cambiar su configuración si es necesario. La escalabilidad como propiedad de los sistemas es generalmente difícil de definir ,2 en particular es necesario definir los requerimientos específicos es pecíficos para la escalabilidad en esas dimensiones donde se crea que son importantes. Es una edición altamente significativa en sistemas electrónicos, bases de datos, ruteadores y redes. A un sistema cuyo rendimiento es mejorado después de haberle añadido más capacidad hardware, proporcionalmente a la capacidad añadida, se dice que pasa a ser un sistema escalable. Dimensiones
La escalabilidad se puede medir en diferentes dimensiones.
Escalabilidad en carga
Un sistema distribuido nos hace fácil el ampliar y reducir sus recursos para acomodar (a conveniencia), cargas más pesadas o más ligeras según se requiera. Escalabilidad geográfica
Un sistema geográficamente escalable, es aquel que mantiene su utilidad y usabilidad, sin importar que tan lejos estén sus usuarios o recursos. Escalabilidad administrativa
No importa qué tantas diferentes organizaciones necesiten compartir un solo sistema distribuido, debe ser fácil de usar y manejar. Por ejemplo, un sistema de procesamiento y transacción en línea o un sistema administrador de base de datos escalable pueden ser actualizados para poder procesar más transacciones añadiendo por medio de nuevos procesadores, dispositivos y almacenamiento que se pueden implementar fácil y transparentemente sin apagarlos. Un protocolo enrutador es considerado escalable con respecto al tamaño de la red, si el tamaño de la necesaria tabla enrutadora en cada nodo crece como una cota superior asintótica (log N ), donde N es el número de nodos en la red. Por otro lado, una aplicación de software es escalable si al incrementar los procesadores donde se ejecuta, el rendimiento crece proporcionalmente. Por el contrario, una aplicación no es escalable si su rendimiento no "escala" o crece con el incremento de los procesadores. Otro ejemplo es: en el CoE = 4 Tipos de escalabilidad Escalabilidad vertical
Un sistema escala verticalmente o hacia arriba, cuando al añadir más recursos a un nodo particular del sistema, este mejora en conjunto. Por ejemplo, añadir memoria o un disco duro más rápido a una computadora puede mejorar el rendimiento del sistema global. Escalabilidad horizontal
Un sistema escala horizontalmente si al agregar más nodos al mismo, el rendimiento de éste mejora. Por ejemplo, al añadir una computadora nueva a un sistema que balancee la carga entre la antigua y la nueva puede mejorar el rendimiento de todo el sistema.
¿Qué soporte debo poseer para iniciar la implementación del Sistema de Trazabilidad? Se deberá contar con un sistema y una base de datos para almacenar la información en el caso de operar via WebService o con una PC con conexión a internet en el caso de utilizar el sistema de envio manual. Para utilizar el Sistema de Trazabilidad deberá configurar una resolución mínima de pantalla de 1024x768. ¿Cómo debo empezar? Realizar los pasos del 1 al 3 para estar habilitado para transaccionar. ¿Cómo debo identificar mi establecimiento? Se deberá utilizar el GLN. (Global Location Number) ¿Cómo debo identificar cada uno de mis productos? Se deberá utilizar el GTIN (Global Trade Item Number) y el número de serie.. ¿Qué movimientos logísticos debo informar?
DISTRIBUCIÓN DEL PRODUCTO A UN ESLABÓN POSTERIOR RECEPCIÓN DE PRODUCTO DESDE UN ESLABÓN ANTERIOR ENVÍO TRASLADO ENTRE DEPOSITOS PROPIOS RECEPCIÓN TRASLADO ENTRE DEPOSITOS PROPIOS ENVIO DE PRODUCTO EN CARÁCTER DEVOLUCION RECEPCIÓN DE PRODUCTO EN CARÁCTER DE DEVOLUCIÓN PRODUCTO ROBADO/EXTRAVIADO MUESTRA MEDICA PRODUCTO DESTINADO A ENSAYO CLINICO PRODUCTO DESTINADO A EXPORTACION ENVIO DE PRODUCTO EN CARÁCTER DEVOLUCION POR VENCIMIENTO RECEPCIÓN DE PRODUCTO EN CARÁCTER DE DEVOLUCIÓN POR VENCIMIENTO ENVIO DE PRODUCTO EN CARÁCTER DEVOLUCION POR PROHIBICION RECEPCIÓN DE PRODUCTO EN CARÁCTER DE DEVOLUCIÓN POR PROHIBICION DESTRUCCION DE MEDICAMENTO POR PROHIBICION DESTRUCCION DE MEDICAMENTO POR VENCIMIENTO LEVANTAMIENTO DE CUARENTENA ENVIO DE MERCADERIA EN CARACTER DE CUARENTENA
¿Qué datos debo transmitir?
CODIGO DE EVENTO: Código de Evento CODIGO COMERCIAL DE PRODUCTO GTIN: Código Global Trade Item Number. NUMERO DE SERIE: Número de serie de producción. NUMERO DE LOTE: Número de lote de producto. VENCIMIENTO: Fecha de vencimiento de producto. CODIGO ORIGEN: Código de identificación de origen. En general: Código GLN CUIT ORIGEN: Código Único de Identificación Tributaria de Facturación/Remito. CODIGO DESTINO: Código de identificación de origen. En general: Código GLN CUIT DESTINO: Código Único de Identificación Tributaria de Facturación/Remito. FECHA y HORA DE TRANSACCION: Fecha y hora del evento. NUMERO DE FACTURA: Numero de Factura. NUMERO DE REMITO: Numero de Remito ¿Cómo puedo conocer las especificaciones técnicas? Para obtener más información podrá consultar la Guía Técnica desde nuestra home page, ingresando en "Estándares". Resolución SENASA Sistema de Trazabilidad de Productos Fitosanitarios y Veterinarios El Servicio Nacional de Sanidad y Calidad Agroalimentaria ha creado el Sistema de Trazabilidad de Productos Fitosanitarios y Veterinarios. La Resolución 369/2013,en concondarcia con la tendencia mundial de utilizar a la trazabilidad como herramienta para impulsar el seguimiento de los productos y dar respuesta a las exigencias de los consumidores resolvió dar carácter de obligatorio al Sistema de Trazabilidad para los Productos Fitosanitarios y Veterinarios. Se encuentran alcanzadas las personas físicas o jurídicas que importen, elaboren, fraccionen, comercialicen o exporten dichos productos. Para dar cumplimiento a la Resolución es necesario que cada unidad de producto trazable sea identificada con un código unívoco según las recomendaciones de los Estándares del Sistema GS1, pudiendo ser utilizados en forma optativa los Códigos GS1-128 o GS1Datamatrix.
Preguntas Generales
1. ¿Cuál es el detalle de eventos que se utilizan en el sistema de Trazabilidad?
2. ¿Con qué frecuencia deben los operadores cargar en el sistema la información sobre sus movimientos? ¿A qué se refiere con “en tiempo real”?
La frecuencia la decide el operador, dentro del trimestre y hasta 10 días hábiles posteriores al vencimiento puede cargar los movimientos/eventos diariamente, semanalmente o mensualmente. Especificando en cada movimiento/evento cargado la fecha en la cual se concretó. Ejemplo: Si el operador realizó movimientos/eventos todos los días del trimestre podrá hasta el último día de plazo cargar cada uno de dichos movimientos/eventos. En tiempo real se refiere a que se cargan los eventos que sucedieron día tras día en el sistema.
3. ¿Debe obtenerse un solo CUFE por domicilio real (por ej. Planta y Laboratorio en un mismo domicilio)?
Sí, ya que CUFE significa Código de Ubicación Física del Establecimiento. Si está todo en un solo domicilio es un solo CUFE.
4. ¿Cuál es “el momento” en el cual se debe verificar si el cliente con el cual se opera se
encuentra o no inscripto en el RENPRE? ¿En la emisión de la factura, del remito, cuando la mercadería sale de la planta en el camión o cuando llega a la planta del cliente, dependiendo de quién contrató al transportista?
En todos los momentos nombrados el sujeto debe estar inscripto ya que en caso contrario existiría una infracción a la normativa vigente.
5. Productos de la Lista 3: Entendemos que sigue siendo “no obligatorio” presentar los
informes trimestrales para los movimientos de los mismos.
Sigue siendo no obligatorio lista 3 a excepción de Nitroetano, Metilamina y Benzaldehído que sí deben informarse.
6. Caso de una empresa que tiene una planta de producción y un laboratorio de desarrollo ubicados en lugares distintos. Las compras de insumos se reciben en la planta pero se envían “muestras” o insumos en pequeñas cantidades al laboratorio. Actualmente están
inscriptos solo como operadores. ¿Deben inscribirse también como transportistas cuando se trata de estas cantidades mínimas? ¿Deben tener dos CUFEs?
Se debe tener dos CUFES, uno de la planta y uno de laboratorio. Respecto del transporte, hay dos formas: 1) Con vehículos de la empresa declarados en RENPRE por lo que no se especifica un transportista y 2) Mediante un transportista habilitado inscripto en RENPRE donde sí se especifica en el evento el CUFE de dicha empresa transportista.
7. ¿Cuál es la prueba válida y suficiente de que el cliente con el cual se opera se encuentra inscripto en el RENPRE? ¿La consulta por página web o el certificado?
Se consulta por página web www.renpre.gov.ar en la sección Búsqueda de operadores
8. ¿Cómo debo presentar el primer informe trimestral del 2014?
El primer informe trimestral de 2014 se presenta mediante el Sistema Nacional de Trazabilidad. El mismo se emite desde la opción informe trimestral de la aplicación web. Para ello deberá cargar el stock inicial al principio de dicho período y luego registrar todos los movimientos correspondientes al trimestre. El mismo se presentará impreso en el registro, con todas sus hojas firmadas, junto con el formulario correspondiente que deberá ser adquirido previamente.
9. ¿Dónde verifico a que categoría de operador pertenezco?
El tipo de agente u operador se encuentra especificado en el certificado. Si en la especificación hay asteriscos es un operador general, en el resto de los casos está expresamente identificado, como por ejemplo Pequeño operador, Transportista, etc.
10. ¿Cuándo cargo el stock inicial?
El stock inicial se carga una sola vez al inicio del uso del Sistema de Trazabilidad. Los ―Eventos‖ suman y restan el stock inicial cargado .
Fasoneo
11. Caso Producciones “a Fason”. Una empresa entrega a un tercero (fason) un producto
para su procesamiento o transformación en otro producto que es devuelto al primero. El primer operador ¿tiene que tener un CUFE propio en la planta donde se re aliza el “fason”
o utilizar el CUFE del segundo? ¿Qué eventos debe informar cada una de las partes?
Todos los intervinientes tienen que tener CUFE puesto que el CUFE especifica una ubicación geográfica donde hay sustancias o productos controlados. En el fasoneo se utilizan los siguientes eventos: Entrega para fasoneo: Lo informa la empresa que envía sustancia o producto para fasonear. Recepción para fasoneo: lo recibe el tercero quien elaborará la sustancia o producto. Entrega de producto fasoneado: Lo carga el tercero cuando entrega la sustancia o producto fasoneado. Recepción de producto fasoneado: lo carga la empresa cuando recibe la sustancia o producto elaborado por el tercero. Depósitos
12. Caso de una mercadería que se transporta desde la planta del fabricante/proveedor al depósito de un tercero, donde permanece temporariamente. Luego la misma es transportada desde el depósito a la planta del cliente. ¿El proveedor debe obtener un CUFE en el depósito del tercero?
Sí, el depósito de terceros debe estar registrado en trazabilidad como un Establecimiento/sucursal (SubCUFE) del Fabricante/proveedor.
13. ¿Si alquilo mi deposito a varias empresas debo estar registrado en Trazabilidad? En caso afirmativo ¿Qué eventos utilizo?
Si, debe estar registrado en el sistema de Trazabilidad, por lo que el dueño del depósito que alquila a una o varias empresas debe poseer CUFE y debe utilizar los eventos : Alta de stock inicial: para dar el alta inicial de todas las sustancias productos que posee en el depósito sin importar quien es el dueño. Recepción para almacenamiento: Cuando recibe mercadería de cualquiera de los locatarios. Entrega para almacenamiento: cuando retira mercadería cualquiera de los locatarios. Transportistas
14. Obligaciones de los transportistas. ¿Los depósitos del transportista deben tener CUFE?
Si, uno principal y si tiene sucursales subCUFEs.
15. Si por algún motivo excepcional un operador debe trasladar su mercadería a un depósito propio en el cual esta queda durante unas pocas horas. ¿Este depósito debe tener CUFE?
Si, es un SubCUFE (Establecimiento/Sucursal ) del CUFE principal.
16. Como dador de carga, ¿Debo informar el peso/cantidad neta que se debe transportar al Transportista?
Si, al transportista se le debe informar el peso/cantidad neto y cuál es el producto /sustancia que transporta. Comercio Exterior
17. Caso de importación para reventa: cuando el contenedor se descarga del buque se lo traslada a un depósito fiscal (no se desconsolida allí, es decir que hay dentro del mismo mercadería propia y de terceros). La empresa ¿debe obtener un CUFE por la estadía de su mercadería en ese depósito fiscal de la aduana?
No, se declara como CUFE origen el del país origen y destino el depósito a donde es llevada la mercadería.
18. En el caso de las exportaciones el sistema solicita completar el campo “Paso de Frontera”. ¿Es obligatorio completarlo?
Si, es obligatorio, el listado se encuentra actualmente en el sistema:
Sustancias/Productos
19. ¿Cuál es la diferencia entre Producto y Sustancia?
Sustancia son los precursores de la lista I y II en estado puro. Los productos son las mezclas que contienen una de las sustancias incluidas en las listas I y II en una concentración mayor al 30% p/v (peso en volumen) o una mezcla de sustancias de la lista I y II cuando su sumatoria supere el 30% p/v. 20. Existen sustancias o mezclas que no se encuentran bien definidas, como por ejemplo el ácido clorhídrico o amoníaco. Deberían tener el mismo concepto de sustancia o mezcla. Las mezclas que posean ácido clorhídrico o amoníaco se controlan conforme lo dispuesto en la respuesta anterior. Las soluciones de ácido clorhídrico y amoníaco se controlarán cuando posean una concentración superior al 20% P/V. 21. ¿Qué sucederá con los productos que solo permite informar en kilos y los asociados los trabajan en litros o viceversa? Los productos heredan la unidad de medida de la sustancia que su utiliza para su elaboración y es necesario utilizar en todos los informes de movimientos dicha unidad. Salvedades:
- En caso de haber 2 sustancias con unidades de medida diferentes, la unidad de medida será la de la sustancia con mayor porcentaje. - En caso de haber productos con 2 sustancias con diferente U.M y mismos porcentajes prevalece el Kg. - En caso que se comercialicen en una unidad de medida diferente deberán hacer la conversión para su carga en el sistema.
De todas maneras la unidad de medida de cada producto puede consultarse en el catálogo electrónico de datos. 22. Cuando se crea un producto propio, ¿qué código se debe utilizar? ¿Lo da el RENPRE? El código de producto lo da el Sistema Nacional de Trazabilidad siempre y cuando esté declarado formalmente ante el RENPRE, mediante el trámite Alta de Producto. En las operaciones de comercialización de un producto fabricado por otro se utiliza el código de producto que se le asignó al fabricante puesto que es él es quien realiza la Fabricación/Producción del mismo.
23. ¿Debo dar de alta los productos que yo fabrico?
Si, en RENPRE mediante el trámite Alta de Producto. Ese producto se verá reflejado en el Sistema de Trazabilidad.
24. ¿Debo dar de alta los productos que yo comercializo?
No, los productos que comercializa los debe dar de alta el Fabricante.
25. ¿Cuando se da de alta un producto en RENPRE se debe revelar la fórmula industrial del mismo?
No, solo se debe denunciar la cantidad de sustancias controlada que el producto posee.
26. ¿Cuándo se considera que es una sustancia pura y no un producto?
Se considera que un producto es en realidad una sustancia pura cuando la concentración
iguala o supera el 95%. Si no encuentra el producto en el sistema de trazabilidad y el mismo tiene una concentración mayor o igual al 95% de sustancia, debe cargar en el evento la sustancia pura, cuyo código comienza con 888… y está especificado en el nombre como
sustancia pura, por ejemplo: ACETONA (SUSTANCIA PURA).
27. ¿Cómo registro los movimientos de Productos/Mezclas que no fabrico?
Para registrar movimientos de productos que Ud. No fabrica debe solicitarle el Código de dicho producto a su proveedor o puede buscarlo a través de la opción ―Catálogo electrónico de datos-Consulta de Catalogo Electrónico por GTIN/Código de producto‖. En el caso que
no encuentre el producto porqué éste aún no fue dado de alta en RENPRE por su proveedor deberá adjuntar una nota en la que explique que la mezcla no fue dada de alta en el RENPRE junto con un anexo 14 especificando los movimientos del producto en cuestión. Ambos informes, el PDF que imprima desde Trazabilidad y el anexo 14 se presentarán con un sólo Formulario F04. Les recordamos que si un producto tiene una concentración de sustancia mayor o igual al 95%, se considerará SUSTANCIA PURA, las mismas tienen su propio código genérico y están identificadas. Por ejemplo: ACETONA (SUSTANCIA PURA). 28. ¿Cómo cargo la Puesta en stock inicial cuando no tengo stock el producto/sustancia que opero? Si no tiene almacenado el producto o la sustancia al momento de cargar el evento ALTA DE STOCK INICAL simplemente no se carga, el sistema de trazabilidad no permite cargas en cero. El stock de ese producto/sustancia se incrementará automáticamente cuando se realice algún otro evento que sume stock como por ejemplo el evento de COMERCIALIZACION COMPRA.
29. ¿Cómo cargo un producto no dado de alta por mi proveedor?
Si su proveedor aún no dio de alta el producto controlado no puede cargarlo en el sistema de trazabilidad hasta que así sea, por lo que deberá completar el Anexo 14 solo con los movimientos del producto en cuestión e informar mediante nota que determinado proveedor no dio de alta determinado producto. El resto de productos y sustancia puede informarlos a través del Sistema de Trazabilidad. Esta opción está vigente solo para la presentación del primer trimestre de 2014. 30. ¿Cómo informo cuando falta habilitar un establecimiento/sucursal (subCUFE)?
En los eventos que suman a su stock y el subCUFE origen no está dado de alta, seleccione el CUFE principal de su proveedor. En este caso debe seleccionar como CUFE Destino su establecimiento y si usted no lo tiene dado de alta, seleccione su CUFE principal y cuando lo tenga dado de alta realice un evento de ENVIO PARA ALMACENAMIENTO y RECEPCION PARA ALMACENAMIENTO según corresponda para acomodar el stock en el establecimiento donde se encuentra efectivamente la sustancia/producto. En los eventos que restan a su stock y el subCUFE destino no está dado de alta, seleccione el CUFE principal de su cliente/destinatario. En este caso debe seleccionar como CUFE Origen su establecimiento de donde resta la sustancias/producto y si usted no lo tiene dado de alta, seleccione su CUFE principal o subCUFE donde haya dado de alta el stock inicial y cuando tenga dado de alta el establecimiento que le falta realice un evento de ENVIO PARA ALMACENAMIENTO y RECEPCION PARA ALMACENAMIENTO según corresponda para acomodar el stock donde se encuentra efectivamente la sustancia/producto. 31. ¿Cómo registro la fabricación de un producto NO controlado? Si usted fabrica con sustancias/productos controlados un producto no controlado utiliza el evento CONSUMO PARA FABRICACION PRODUCCIÓN que resta de su stock para la fabricación de producto no controlado y no carga otro evento puesto que no se controla el stock de productos no controlados. 32. ¿Cómo registro la fabricación de un producto controlado? Si usted fabrica con sustancias/productos controlados un producto no controlado utiliza el evento CONSUMO PARA FABRICACION PRODUCCIÓN que resta de su stock para la fabricación de producto controlado y utiliza el evento FABRICACION/PRODUCCIÓN para sumar stock del producto fabricado controlado. Si usted fabrica sustancias/productos controlados con elementos no controlados utiliza el evento FABRICACIÓN/PRODUCCIÓN para aumentar su stock. 33. Los componentes de mi producto son químicamente inseparables y podría no cargarlo en Trazabilidad. ¿Qué trámite debo realizar para dicha excepción? Está especificado en el manual del RENPRE http://www.renpre.gov.ar/pdfs/tutoriales/manual-proc-renpre.pdf, página 7 punto 10 Mezclas - Resolución SEDRONAR 764/11, incisos c-d y e. 34. ¿Cómo doy de alta un producto en Trazabilidad? Los productos en trazabilidad migran automáticamente desde sistema del RENPRE por lo que si no están en Trazabilidad deben darlo de alta en RENPRE adjuntando el Anexo 4 ( http://www.renpre.gov.ar/pdfs/tutoriales/anexo_4_productos_a-b-m.pdf ) en cualquier
rámite de Inscripción, Reinscripción o Trimestral (F01, F02 o F04) en el término de 48hs estará vigente. 35. ¿Cómo registro la venta cuando el producto o sustancia va directo desde mi proveedor al cliente? En este caso el vendedor no puede quedar fuera de la transacción en trazabilidad por lo que debe informar primero la compra a su proveedor, a su vez su proveedor informara la venta hacia usted, luego debe usted informar la venta a su cliente y su cliente informará la compra que le realizó a usted. El resultado final es que le resta el producto/sustancia al proveedor y le suma sustancia/producto a su cliente y queda registrada la venta. Copyright 2014. RENPRE | Todos los derechos res
1. ¿Dónde debo realizar el entrenamiento del sistema? Para realizar el entrenamiento debe ingresar aquí y registrarse en el sistema. Puede realizar el entrenamiento con el usuario y contraseña obtenidos al momento de la registración e incorporando el set de datos de prueba disponible en la documentación que se encuentra en la página. Si no posee CUFE (Código de Ubicación Física de Establecimiento) deberá obtenerlo comunicándose con la mesa de ayuda al 0800-333-89633. 2. ¿Debo seguir presentando los informes trimestrales en papel o es obligatorio realizarlo a través del nuevo sistema de trazabilidad de precursores? En el año 2013 la presentación a través del sistema es opcional, pero válida en caso de que se realice por este medio. De no utilizarlo, deberá seguir presentando la documentación en papel como lo hacía hasta este momento. A partir del año 2014, la utilización del sistema y la presentación digital de los informes será obligatoria. 3. Usuarios de Entrenamiento y Final ¿Dónde conseguirlos? Para obtener su usuario de entrenamiento deberá registrarse en el sitio web (click aquí ) o ingrese en el paso 2.1. En cuanto al usuario final (entorno Definitivo), será comunicado por un Operador luego de finalizar el entrenamiento, realizar la registración en el paso 3.2 y enviar la documentación solicitada en el paso 3.3. Una vez recibido el usuario final, deberá efectuar la carga de Subglns y productos si correspondiera y posteriormente el cierre de alineación e impresión de PDF. Cumplimentado lo anterior deberá aguardar la habilitación del usuario por parte de SEDRONAR.
4. ¿Qué debo hacer si el sistema bloquea mi contraseña o no puedo acceder con mis datos? Tanto sí su usuario fue deshabilitado por intentos fallidos de acceso, o cuando Ud. no recuerde los datos proporcionados al momento de la registración, podrá solicitar una nueva contraseña directamente desde la página web, desde la opción 'Desbloquear cuenta o generar nueva contraseña.'. Previamente, corrobore estar accediendo a la página web correcta, ya sea se trate de Entrenamiento o Final. Recuerde que el usuario y contraseña puede ser diferente según la etapa en la que se encuentra. 5. ¿Qué debo hacer si mi organización o un tercero no tiene CUFE para transaccionar?
a) Si mi organización no posee CUFE: Podrá solicitarlo comunicándose a la mesa de ayuda (le será requerido su CUIT, Razón Social, Dirección, Localidad y tipo de agente) b) Si un tercero no posee CUFE: deberá efectuar la solicitud de CUFE provisorio desde la opción 'solicitud agente' desde el SNT ingresando con su usuario o comunicándose a la mesa de ayuda. 6. Existe un error en el catálogo electrónico de datos (agente o precursor) Deberá informar dicho error y datos correctos a la mesa de ayuda o al e-mail
[email protected]. El mismo será corregido luego de la validación de los datos correspondientes y previa autorización de SEDRONAR. 7. ¿Cómo debo hacer para registrar mi stock en el sistema para poder transaccionar con dichos precursores?
Deberá informar un evento para registración de todos estos productos con los datos correspondientes. En el caso del stock preexistente, se deberá utilizar el evento denominado ―PUESTA EN STOCK INICIAL‖. Una vez registrado, por primera vez, todo su stock en el sistema, podrá comenzar a transaccionar con él. Recuerde que puede verificar su stock en tiempo real de todos los movimientos registrados desde la opción ―Movimientos / Stock‖ del sistema nacional de trazabilidad.
8. Usuario y contraseña para la capa de transporte del WS Si desea realizar la trazabilidad utilizando los WebServices, tenga en cuenta que los datos para la capa de transporte son los siguiente: Usuario: testwservice / Contraseña: testwservicepsw. Estos datos son independientes de su usuario y contraseña del sistema, y son los mismos tanto para Entrenamiento como para el entorno Definitivo. Cristina Kirchner avanzará pronto con cambios en la Administración de Programas Especiales (APE), un organismo que recibe fondos de todas las obras sociales y los distribuye para tratamientos de alta complejidad.
Noticias relacionadas 08.04.2011Cristina le sacó a Moyano el manejo de los fondos de las obras sociales 13.04.2011El kirchnerismo impidió que una auditoría sobre APE vaya a la justicia 11.03.2011Cristina analiza disolver la APE, asediada por la causa de los medicamentos
Este sistema quedó en el centro de las sospechas ante las denuncias sobre falsificación de troqueles para disponer de fondos como también de la provisión de medicamentos en mal estado, que derivaron en las causas de la denominada ―mafia de los medicamentos‖.
El conflicto complicó a sobremanera el funcionamiento de APE debido a que los directivos se vienen negando a firmar los expedientes por temor a tener que rendir cuentas en la justicia. Tal como adelantó LPO, por esa complicación en el Gobierno evaluaron disolver el organismo, tal como hicieron con la ONCCA. Según publica La Nación, la presidenta tiene a la firma un decreto que modificaría el funcionamiento de APE, cuyo presupuesto asciende a los 1.100 millones de pesos. Los sindicatos denuncian una deuda atrasada de casi 9.000. La idea sería que ahora incorpore un sistema de trazabilidad para controlar la producción de los medicamentos y también la prestación de los servicios y no meramente el manejo de fondos. De esta manera las obras sociales sindicales perdían la atribución de comprar productos y luego reclamar el reintegro por esa erogación, mecanismo que, según las causas judiciales vigentes, habría sido distorsionado para apoderarse de millones de pesos. Los cambios intentarían hacerse sin confrontar con las obras sociales. Para eso el ministro de Salud Juan Manzur se comprometió con Hugo Moyano a discutir un nuevo esquema de salud. La primera medida es apurar la sanción del marco regulatorio a la medicina prepaga que espera la sanción en Diputados. La CGT quiere luego frenar el traspaso de afiliados de mejores ingresos a esas empresas.
