Implantación de un SGSI con e-PULPO
ÍNDICE 1
Introducción......................................... .................... ........................................... ........................................... ...................................... ................. 3
2
SGSI y normativas ........................................... ..................... ........................................... ........................................... ............................ ...... 4
3
2.1
La serie 27000 .............................................................................................. 4
2.1 2.2
ISO/IEC 27001 (SGSI) ................................................................................... 5 ISO/IEC 27002 ............................................................................................. 6
2.3
Objetivos de control y controles ...................................................................... 7
Implantación .................................................................................................. 10 3.1
¿Porqué implantar un SGSI? ......................................................................... 10
3.2
¿Cómo evitar que crezcan las labores que ya debía d ebía gestionar el Servicio de
Sistemas de Información? ..................................................................................... 10 3.3
¿Cuánto tiempo lleva la implantación de un SGSI? ................ ......................... ................. ................. ......... 10
3.4
¿Cómo dar respuesta a los requisitos sin sobrepasar el presupuesto disponible? . 11
3.5
¿Cómo cubrir los requisitos de un SGSI, la Ley Orgánica de Protección de Datos de
Carácter Personal y el Esquema Nacional de Seguridad sin incurrir en tres t res gastos? ....... 11 4
5
Requerimientos Requerimientos de un SGSI ........................................... ...................... .......................................... ................................. ............ 12 4.1
Acciones con e-PULPO para un SGSI (ISO 27001) ................ ........................ ................. ................. .......... .. 13
4.2
ANEXO II: Objetivos de control y Controles (ISO 27002) ................ ........................ ................ .......... .. 19
Sobre Ingenia .......................................... ..................... ........................................... ........................................... ................................. ............ 25
Implantación de un SGSI con e-PULPO
Página 2 de 25
1 Introducción Un SGSI es un “Sistema de Gestión de Seguridad de la Información” , en inglés ISMS “Information Security Management System” .
El SGSI se basa en un conjunto de políticas orientadas a conseguir y a mantener la Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad de la Información.
En un servicio informático que va a implantar un SGSI es importante diferenciar 2 conceptos de seguridad: - Seguridad Informática: Orientada en la protección de la Infraestructura TIC que soporta al negocio. - Seguridad de la Información: Orientada en la protección de los activos de la información fundamentales para el negocio.
El estándar de seguridad de la información ISO/IEC 27001, detalla los requisitos para diseñar, implantar, mantener y mejorar un SGSI, basándose en el ciclo de Deming “Plan-Do-Check-Act ” (Planificar-Hacer-Revisar-Actuar).
Implantación de un SGSI con e-PULPO
Página 3 de 25
2 SGSI y normativas Los Sistemas de Gestión de la Seguridad de la Información están asociados a la normativa ISO/IEC 27001, que es un estándar de seguridad internacionalmente reconocido y se enmarca dentro de una serie de estándares conocidos como la familia 27000.
2.1 La serie 27000 Esta serie de estándares están asociados a la seguridad de la información. Se describen a continuación brevemente el alcance de cada uno:
ISO 27000 = Fundamentos
ISO 27001 = Especificaciones de un SGSI (Certificable)
ISO 27002 = Código de buenas prácticas
ISO 27003 = Guía de implantación
ISO 27004 = Métricas e Indicadores
ISO 27005 = Guía para el Análisis y Gestión del Riesgo
ISO 27006 = Especificaciones para organismos certificadores
ISO 27007 = Guía de requisitos para entidades auditoría y certificación
Implantación de un SGSI con e-PULPO
Página 4 de 25
2.1 ISO/IEC 27001 (SGSI) Es un estándar de seguridad de la información. Se publicó por primera vez en 2005. Es similar a la normativa española UNE 71502. Marca las especificaciones de un SGSI basado en el ciclo Deming y es un estándar que puede ser certificado.
La certificación ISO/IEC 27001 demuestra: - El cumplimiento de requisitos para la gestión corporativa y la continuidad del negocio. - El valor que tiene la seguridad de la información para la organización debido al compromiso de la cúpula directiva. - La garantía de controles externos a la propia organización. - Que los riesgos de la organización están identificados, evaluados y controlados. - El cumplimiento de leyes y normativas que sean de aplicación. - La mejora continua consecuencia de las revisiones periódicas.
Implantación de un SGSI con e-PULPO
Página 5 de 25
2.2 ISO/IEC 27002 Es el segundo estándar de la serie 27000 y también se denomina ISO/IEC 17799. Describe unas “Buenas Prácticas” para la gestión de la seguridad de la información tanto en un proceso de implantación como en su mantenimiento. Define el concepto de seguridad de la información como “ la preservación de la
confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)”. Se estructura en 11 secciones o dominios: 1. Política de Seguridad de la Información. 2. Organización de la Seguridad de la Información. 3. Gestión de Activos de Información. 4. Seguridad de los Recursos Humanos. 5. Seguridad Física y Ambiental. 6. Gestión de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes en la Seguridad de la Información. 10. Gestión de Continuidad del Negocio. 11. Cumplimiento.
Implantación de un SGSI con e-PULPO
Página 6 de 25
De estos 11 dominios emanan 39 objetivos de control, y de estos emanan un total de 133 controles. Cada uno tiene asociada una guía de implantación. Una organización que se adecúe a este estándar tendrá en consideración cuáles de estos les aplican y cuáles no.
2.3 Objetivos de control y controles A continuación se muestran algunos ejemplos de los controles recogidos en la normativa ISO/IEC 27002:
Dominio o
Objetivo de control
Control
Gestión de Activos o
Responsabilidad sobre los activos Uso aceptable de los activos
Seguridad ligada a los recursos humanos o
Durante el empleo
Proceso disciplinario
Seguridad Física y del entorno o
Áreas seguras
Perímetro de seguridad física
Controles físicos de entrada
Áreas de acceso público
Implantación de un SGSI con e-PULPO
Página 7 de 25
o
Seguridad de los equipos Seguridad del cableado
Seguridad de los equipos fuera de las instalaciones
Gestión de comunicaciones y operaciones o
Planificación y aceptación del sistema
Gestión de capacidades
Aceptación del sistema Intercambio de información
o
o
Acuerdos de intercambio
Mensajería electrónica
Supervisión
Registros de auditoría Registro de fallos
Control de acceso o
Gestión de acceso de usuario
o
o
o
Gestión de privilegios Gestión de contraseñas de usuario Revisión de los derechos de acceso de usuario
Control de acceso a la red
Identificación de los equipos en las redes
Segregación de las redes
Control de encaminamiento (routing) de red
Control de acceso al sistema operativo
Procedimientos seguros de inicio de sesión
Sistema de gestión de contraseñas
Control de acceso a las aplicaciones y a la información
Implantación de un SGSI con e-PULPO
Página 8 de 25
Restricción del acceso a la información Aislamiento de sistemas sensibles
Adquisición, desarrollo y mantenimiento de sistemas de información o
o
Tratamiento correcto de las aplicaciones
Validación de los datos de entrada
Validación de los datos de salida
Controles criptográficos Política de uso
o
Seguridad en los procesos de desarrollo y soporte
o
Procedimiento de control de cambios Restricciones a los cambios en el software so ftware Fugas de información
Gestión de vulnerabilidades técnicas
Gestión de claves
Control de las vulnerabilidades
Cumplimiento o
Requisitos legales Identificación de la legislación aplicable
Protección de los documentos de la organización
Protección de datos de carácter personal
Prevención del uso indebido de recursos
Regulación de controles criptográficos
Implantación de un SGSI con e-PULPO
Página 9 de 25
3 Implantación
3.1 ¿Porqué implantar un SGSI? Un SGSI permite dotar y mantener seguridad, sobre la información que maneja la organización. Si además se certifica con el estándar ISO/IEC 27001, ofrece una ventaja competitiva, tal como se describe en el apartado 2.1.
3.2 ¿Cómo evitar que crezcan las labores que ya debía gestionar el Servicio de Sistemas de Información? Mediante la integración de las labores que se hacen en el servicio de informática bajo un prisma genérico, sin tener como objetivo exclusivo el cumplimiento con una Ley específica. Una vez teniendo la información necesaria, ésta se explota para dar respuesta a cualquier requisito: LOPD, ENS, ITIL (ISO 20000), SGSI (ISO 27001), etc.
3.3 ¿Cuánto tiempo lleva la implantación de un SGSI? Como término medio lleva entre 6 meses y 1 año.
Implantación de un SGSI con e-PULPO
Página 10 de 25
3.4 ¿Cómo dar respuesta a los requisitos sin sobrepasar el presupuesto disponible? Haciendo uso de software libre, como recomienda el informe “Propuesta de
Recomendaciones a la Administración General del Estado sobre Utilización del Software Libre y de Fuentes Abiertas”, del Consejo Superior de Informática y para el Impulso de la Administración Electrónica (Ministerio de Administraciones Públicas, año 2005).
3.5 ¿Cómo cubrir los requisitos de un SGSI, la Ley Orgánica de Protección de Datos de Carácter Personal y el Esquema Nacional de Seguridad sin incurrir en tres gastos? Utilizando las mismas herramientas para una y otra necesidad, sin recurrir a herramientas independientes, inconexas, que obliguen a duplicar la información y a duplicar el trabajo.
Implantación de un SGSI con e-PULPO
Página 11 de 25
4 Requerimientos de un SGSI
Leyenda de colores: Color
Función e-PULPO cumple con los requerimientos. Los requerimientos no aplican a la finalidad de e-PULPO. Actualmente e-PULPO no cubre esta funcionalidad, pero la cubrirá en siguientes versiones. Requerimientos que aplican a la propia plataforma de e-PULPO y están cubiertos.
Implantación de un SGSI con e-PULPO
Página 12 de 25
4.1 Acciones con e-PULPO para un SGSI (ISO 27001) Apartado 4.2.1. Creación del SGSI
Soporte en e-PULPO Completando previamente el control 7.1.1 (ISO 27002)
a) Elaborar y gestionar el alcance
e-PULPO dispone de un módulo de Gestión Documental para gestionar la documentación del alcance del SGSI.
b) Definir una política
e-PULPO dispone de un módulo de Gestión Documental para gestionar la documentación de la política del SGSI.
c) Especificar la metodología de evaluación de riesgos
e-PULPO dispone de un módulo de Gestión Documental que permite gestionar los documentos de metodología y evaluaciones.
d) e) f) g) Análisis y gestión de riesgos
e-PULPO está integrado con PILAR (herramienta para el análisis de riesgos), permite crear vía web activos genéricos en para la valoración de los procesos de negocio, ubica los activos en capas, grupos y dominios de seguridad, permite la asignación de clases a los activos, permite establecer las dependencias entre activos, seleccionar los objetivos de control y valorar las salvaguardas.
h) i) Aprobar el informe del del análisis análisis de riesgos de PILAR
e-PULPO dispone de un módulo de Gestión Gestión Documental Documental para gestionar el almacenamiento y aprobación del análisis y gestión de riesgos r iesgos generado con PILAR.
Implantación de un SGSI con e-PULPO
Página 13 de 25
4.1 Acciones con e-PULPO para un SGSI (ISO 27001) Apartado 4.2.1. Creación del SGSI
Soporte en e-PULPO Completando previamente el control 7.1.1 (ISO 27002)
a) Elaborar y gestionar el alcance
e-PULPO dispone de un módulo de Gestión Documental para gestionar la documentación del alcance del SGSI.
b) Definir una política
e-PULPO dispone de un módulo de Gestión Documental para gestionar la documentación de la política del SGSI.
c) Especificar la metodología de evaluación de riesgos
e-PULPO dispone de un módulo de Gestión Documental que permite gestionar los documentos de metodología y evaluaciones.
d) e) f) g) Análisis y gestión de riesgos
e-PULPO está integrado con PILAR (herramienta para el análisis de riesgos), permite crear vía web activos genéricos en para la valoración de los procesos de negocio, ubica los activos en capas, grupos y dominios de seguridad, permite la asignación de clases a los activos, permite establecer las dependencias entre activos, seleccionar los objetivos de control y valorar las salvaguardas.
h) i) Aprobar el informe del del análisis análisis de riesgos de PILAR
e-PULPO dispone de un módulo de Gestión Gestión Documental Documental para gestionar el almacenamiento y aprobación del análisis y gestión de riesgos r iesgos generado con PILAR.
Implantación de un SGSI con e-PULPO
Página 13 de 25
Apartado j) Declaración de aplicabilidad aplicabilidad
Soporte en e-PULPO e-PULPO está integrado con PILAR PILAR (herramienta para el análisis de riesgos), a través de la que se elabora el SOA, que luego se almacena en el módulo de gestión documental.
4.2.2 Implementación y operación del SGSI a) Plan de tratamiento de riesgos
e-PULPO lo tiene cubierto, como se ha indicado para el punto 4.2.1.d) de la norma.
b) c) Planificar y gestionar el plan de tratamiento de riesgos
e-PULPO permite hacer el seguimiento de las acciones a realizar a través del módulo de “Gestión de Planes de Acción” .
d) Definición de métricas para evaluar la eficacia de los controles
e-PULPO dispone de un módulo de “Métricas y Cuadros de Mando” que que permite la creación de métricas y hacer su seguimiento con alertas.
e) Implementar Implementar programas de de formación y concienciación concienciación e-PULPO permite permite implementar implementar estos programas programas desde su módulo de “Formación y Concienciación” , a través de una plataforma de tele formación. f) Gestionar la operación del SGSI
La gestión de la operación la realiza el propio SGSI.
g) Gestionar los recursos del SGSI
e-PULPO ayuda a la gestión diaria de los recursos para la seguridad a través de la planificación establecida en el
Implantación de un SGSI con e-PULPO
Página 14 de 25
Apartado j) Declaración de aplicabilidad aplicabilidad
Soporte en e-PULPO e-PULPO está integrado con PILAR PILAR (herramienta para el análisis de riesgos), a través de la que se elabora el SOA, que luego se almacena en el módulo de gestión documental.
4.2.2 Implementación y operación del SGSI a) Plan de tratamiento de riesgos
e-PULPO lo tiene cubierto, como se ha indicado para el punto 4.2.1.d) de la norma.
b) c) Planificar y gestionar el plan de tratamiento de riesgos
e-PULPO permite hacer el seguimiento de las acciones a realizar a través del módulo de “Gestión de Planes de Acción” .
d) Definición de métricas para evaluar la eficacia de los controles
e-PULPO dispone de un módulo de “Métricas y Cuadros de Mando” que que permite la creación de métricas y hacer su seguimiento con alertas.
e) Implementar Implementar programas de de formación y concienciación concienciación e-PULPO permite permite implementar implementar estos programas programas desde su módulo de “Formación y Concienciación” , a través de una plataforma de tele formación. f) Gestionar la operación del SGSI
La gestión de la operación la realiza el propio SGSI.
g) Gestionar los recursos del SGSI
e-PULPO ayuda a la gestión diaria de los recursos para la seguridad a través de la planificación establecida en el
Implantación de un SGSI con e-PULPO
Página 14 de 25
Apartado
Soporte en e-PULPO módulo de “Gestión de Planes de Acción ” (donde (donde se pueden observar las tareas asignadas a cada recurso y su disponibilidad con diagramas de Gantt) y Gestión de Tickets (donde se pueden observar las solicitudes e incidencias que debe resolver cada recurso, y en qué momento está planificado ejecutarlo directamente en el calendario).
h) Detección temprana de eventos de seguridad
e-PULPO realiza un seguimiento de las últimas vulnerabilidades publicadas del software instalado. Además, gracias a la conexión con AlienVault OSSIM (herramienta SIEM basada en software libre), monitorizamos los sistemas, recibimos alertas y actualizamos en tiempo real el análisis de riesgos.
4.2.3 Supervisión y revisión del SGSI a) Procedimientos de supervisión y revisión 1) Detectar errores
e-PULPO, gracias a la conexión con AlienVault OSSIM (herramienta SIEM basada en software libre), monitoriza los sistemas y recibe alertas en caso de caída.
2) Identificar debilidades
e-PULPO, gracias a la conexión con AlienVault OSSIM (herramienta SIEM basada en software libre), realiza auditorías (hacking ético) y recibe alertas en caso de
Implantación de un SGSI con e-PULPO
Página 15 de 25
Apartado
Soporte en e-PULPO módulo de “Gestión de Planes de Acción ” (donde (donde se pueden observar las tareas asignadas a cada recurso y su disponibilidad con diagramas de Gantt) y Gestión de Tickets (donde se pueden observar las solicitudes e incidencias que debe resolver cada recurso, y en qué momento está planificado ejecutarlo directamente en el calendario).
h) Detección temprana de eventos de seguridad
e-PULPO realiza un seguimiento de las últimas vulnerabilidades publicadas del software instalado. Además, gracias a la conexión con AlienVault OSSIM (herramienta SIEM basada en software libre), monitorizamos los sistemas, recibimos alertas y actualizamos en tiempo real el análisis de riesgos.
4.2.3 Supervisión y revisión del SGSI a) Procedimientos de supervisión y revisión 1) Detectar errores
e-PULPO, gracias a la conexión con AlienVault OSSIM (herramienta SIEM basada en software libre), monitoriza los sistemas y recibe alertas en caso de caída.
2) Identificar debilidades
e-PULPO, gracias a la conexión con AlienVault OSSIM (herramienta SIEM basada en software libre), realiza auditorías (hacking ético) y recibe alertas en caso de
Implantación de un SGSI con e-PULPO
Página 15 de 25
Apartado
Soporte en e-PULPO detectar vulnerabilidades.
b) Gestión de informes de auditoría SGSI
e-PULPO ofrece la gestión de los informes de auditoría desde su módulo “Gestión Documental” .
c) Gestión de actas de reunión, revisión por la Dirección, etc.
e-PULPO permite desde el módulo “Gestión Documental” la gestión de las actas de reunión y gestión de contenidos para que puedan ser revisadas por la dirección.
4.2.4 Mantenimiento y mejora del SGSI
No aplica a la funcionalidad de e-PULPO como plataforma.
4.3 Requisitos de la documentación
e-PULPO permite gestionar la documentación además de proporcionar a través de workflows ciclos para la vida de cada documento.
5 Responsabilidad de la Dirección 5.2 Gestión de los recursos
e-PULPO permite la gestión de los recursos desde los módulos “Gestión de Activos y Tickets” y “Gestión de Planes de Acción” .
5.2.1 Provisión de los recursos
e-PULPO permite gestionar la provisión de recursos organizando, identificando y supervisando las acciones desde el módulo “Gestión de Planes de Acción” .
5.2.2 Concienciación, Concienciación, formación y capacitación
e-PULPO dispone del módulo de “Formación y concienciación” que que permite llevar a cabo acciones
Implantación de un SGSI con e-PULPO
Página 16 de 25
Apartado
Soporte en e-PULPO detectar vulnerabilidades.
b) Gestión de informes de auditoría SGSI
e-PULPO ofrece la gestión de los informes de auditoría desde su módulo “Gestión Documental” .
c) Gestión de actas de reunión, revisión por la Dirección, etc.
e-PULPO permite desde el módulo “Gestión Documental” la gestión de las actas de reunión y gestión de contenidos para que puedan ser revisadas por la dirección.
4.2.4 Mantenimiento y mejora del SGSI
No aplica a la funcionalidad de e-PULPO como plataforma.
4.3 Requisitos de la documentación
e-PULPO permite gestionar la documentación además de proporcionar a través de workflows ciclos para la vida de cada documento.
5 Responsabilidad de la Dirección 5.2 Gestión de los recursos
e-PULPO permite la gestión de los recursos desde los módulos “Gestión de Activos y Tickets” y “Gestión de Planes de Acción” .
5.2.1 Provisión de los recursos
e-PULPO permite gestionar la provisión de recursos organizando, identificando y supervisando las acciones desde el módulo “Gestión de Planes de Acción” .
5.2.2 Concienciación, Concienciación, formación y capacitación
e-PULPO dispone del módulo de “Formación y concienciación” que que permite llevar a cabo acciones
Implantación de un SGSI con e-PULPO
Página 16 de 25
Apartado
Soporte en e-PULPO formativas para asegurar que el personal dispone del conocimiento adecuado para llevar a cabo sus tareas asignadas.
6 Auditorías internas del SGSI a) cumplen los requisitos de esta norma, legislación y normativas
e-PULPO, a través de su conexión con PILAR, permite medir los niveles de cumplimiento.
b) cumplen los requisitos de seguridad de la información identificados
e-PULPO permite verificar el cumplimiento de los
c) se implantan y se mantienen de forma efectiva
requisitos que se definan en su módulo “Gestión de Cuadros de Mando” .
e-PULPO permite verificar el nivel de implantación definidos con métricas en su módulo “Gestión de Cuadros de Mando” .
d) dan el resultado esperado
e-PULPO permite verificar a través del módulo “Cuadros de Mando” si si se cumplen las expectativas en los resultados.
7 Revisión del SGSI por la Dirección 7.1 Generalidades
e-PULPO permite que la Dirección revise la conveniencia y eficacia del SGSI desde los “Cuadros de Mando” definidos. definidos.
Implantación de un SGSI con e-PULPO
Página 17 de 25
Apartado
Soporte en e-PULPO formativas para asegurar que el personal dispone del conocimiento adecuado para llevar a cabo sus tareas asignadas.
6 Auditorías internas del SGSI a) cumplen los requisitos de esta norma, legislación y normativas
e-PULPO, a través de su conexión con PILAR, permite medir los niveles de cumplimiento.
b) cumplen los requisitos de seguridad de la información identificados
e-PULPO permite verificar el cumplimiento de los
c) se implantan y se mantienen de forma efectiva
requisitos que se definan en su módulo “Gestión de Cuadros de Mando” .
e-PULPO permite verificar el nivel de implantación definidos con métricas en su módulo “Gestión de Cuadros de Mando” .
d) dan el resultado esperado
e-PULPO permite verificar a través del módulo “Cuadros de Mando” si si se cumplen las expectativas en los resultados.
7 Revisión del SGSI por la Dirección 7.1 Generalidades
e-PULPO permite que la Dirección revise la conveniencia y eficacia del SGSI desde los “Cuadros de Mando” definidos. definidos.
Implantación de un SGSI con e-PULPO
Página 17 de 25
Apartado
Soporte en e-PULPO
7.2 Datos iniciales de la revisión
Desde las diferentes funcionalidades funcionalidades de e-PULPO, como el módulo de “Gestión Documental” , se pueden gestionar los datos para las auditorias, comentarios, procedimientos, técnicas, estado de las acciones preventivas, y recomendaciones recomendaciones de mejora.
7.3 Resultados de la revisión
e-PULPO permite almacenar los informes resultantes en su “Gestor documental” .
8 Mejora del SGSI a) Plan de acciones correctivas a una no conformidad
e-PULPO facilita la creación de tickets sobre acciones desde su módulo de “Gestión de Activos y Tickets” , o desde el módulo de “Gestión de planes de acción ” .
b) Plan de acciones preventivas a una no conformidad
e-PULPO facilita la creación de tickets sobre acciones desde su módulo de “Gestión de Activos y Tickets” .
c) Gestionar los planes de acciones correctivas y preventivas
e-PULPO permite el seguimiento así como la notificación automática para el seguimiento de las acciones desde su módulo de “Gestión de Activos y Tickets” .
Implantación de un SGSI con e-PULPO
Página 18 de 25
Apartado
Soporte en e-PULPO
7.2 Datos iniciales de la revisión
Desde las diferentes funcionalidades funcionalidades de e-PULPO, como el módulo de “Gestión Documental” , se pueden gestionar los datos para las auditorias, comentarios, procedimientos, técnicas, estado de las acciones preventivas, y recomendaciones recomendaciones de mejora.
7.3 Resultados de la revisión
e-PULPO permite almacenar los informes resultantes en su “Gestor documental” .
8 Mejora del SGSI a) Plan de acciones correctivas a una no conformidad
e-PULPO facilita la creación de tickets sobre acciones desde su módulo de “Gestión de Activos y Tickets” , o desde el módulo de “Gestión de planes de acción ” .
b) Plan de acciones preventivas a una no conformidad
e-PULPO facilita la creación de tickets sobre acciones desde su módulo de “Gestión de Activos y Tickets” .
c) Gestionar los planes de acciones correctivas y preventivas
e-PULPO permite el seguimiento así como la notificación automática para el seguimiento de las acciones desde su módulo de “Gestión de Activos y Tickets” .
Implantación de un SGSI con e-PULPO
Página 18 de 25
4.2 ANEXO II: Objetivos de control y Controles (ISO 27002) Apartado
Soporte en e-PULPO
5 Política de seguridad 5.1 Política de seguridad de la información
e-PULPO permite la revisión del documento de política de seguridad.
6 Aspectos organizativos de la seguridad de la información 6.1 Organización interna
e-PULPO se puede utilizar como apoyo, aunque los compromisos, coordinación y asignación de responsabilidades responsabilidades dependen de la organización.
6.2 Relaciones con terceros
e-PULPO se utiliza para la identificación de riesgos derivados de las relaciones con terceros.
7 Gestión de activos 7.1 Responsabilidad sobre los activos
Permite inventariar activos y asignarles propietarios.
7.2 Clasificación de la información
Permite la clasificación de los activos.
8 Seguridad relacionada con los recursos humanos 8.1 Previa a la contratación Implantación de un SGSI con e-PULPO
Permite gestionar la documentación de contratación así Página 19 de 25
4.2 ANEXO II: Objetivos de control y Controles (ISO 27002) Apartado
Soporte en e-PULPO
5 Política de seguridad 5.1 Política de seguridad de la información
e-PULPO permite la revisión del documento de política de seguridad.
6 Aspectos organizativos de la seguridad de la información 6.1 Organización interna
e-PULPO se puede utilizar como apoyo, aunque los compromisos, coordinación y asignación de responsabilidades responsabilidades dependen de la organización.
6.2 Relaciones con terceros
e-PULPO se utiliza para la identificación de riesgos derivados de las relaciones con terceros.
7 Gestión de activos 7.1 Responsabilidad sobre los activos
Permite inventariar activos y asignarles propietarios.
7.2 Clasificación de la información
Permite la clasificación de los activos.
8 Seguridad relacionada con los recursos humanos 8.1 Previa a la contratación Implantación de un SGSI con e-PULPO
Permite gestionar la documentación de contratación así Página 19 de 25
Apartado
Soporte en e-PULPO como la asociación a perfiles y/o funciones.
8.2 Mientras dure la contratación
e-PULPO dispone de un módulo para la Formación y Concienciación.
8.3 Fin de la contratación o cambio de puesto de trabajo
e-PULPO permite asociar asociar activos a personas personas facilitando de este modo la gestión ante cambios en la contratación.
9 Seguridad física y del entorno 9.1 Áreas seguras
e-PULPO permite tratar las áreas seguras como activos de la organización.
9.2 Seguridad del equipamiento
e-PULPO facilita la seguridad de equipos clientes y servidores.
10 Gestión de comunicaciones y operaciones 10.1 Responsabilidades y procedimientos de operación
e-PULPO gestiona la documentación, así como la gestión del cambio y segregación de tareas.
10.2 Gestión de servicios prestados por terceros
A través del módulo de gestión de activos pueden verse claramente las relaciones con terceros, además del uso del módulo de métricas e indicadores.
10.3 Planificación y aceptación de sistemas
El módulo Gestión de Proyectos cumple con este
Implantación de un SGSI con e-PULPO
Página 20 de 25
Apartado
Soporte en e-PULPO como la asociación a perfiles y/o funciones.
8.2 Mientras dure la contratación
e-PULPO dispone de un módulo para la Formación y Concienciación.
8.3 Fin de la contratación o cambio de puesto de trabajo
e-PULPO permite asociar asociar activos a personas personas facilitando de este modo la gestión ante cambios en la contratación.
9 Seguridad física y del entorno 9.1 Áreas seguras
e-PULPO permite tratar las áreas seguras como activos de la organización.
9.2 Seguridad del equipamiento
e-PULPO facilita la seguridad de equipos clientes y servidores.
10 Gestión de comunicaciones y operaciones 10.1 Responsabilidades y procedimientos de operación
e-PULPO gestiona la documentación, así como la gestión del cambio y segregación de tareas.
10.2 Gestión de servicios prestados por terceros
A través del módulo de gestión de activos pueden verse claramente las relaciones con terceros, además del uso del módulo de métricas e indicadores.
10.3 Planificación y aceptación de sistemas
El módulo Gestión de Proyectos cumple con este
Implantación de un SGSI con e-PULPO
Página 20 de 25
Apartado
Soporte en e-PULPO requerimiento.
10.4 Protección frente a código dañino/descargable dañino/descargable
No aplica a la funcionalidad de e-PULPO como plataforma.
10.5 Copias de seguridad
e-PULPO dispone de mecanismos propios de backup.
10.6 Gestión de la seguridad de las redes
e-PULPO a través del módulo OSSIM se integra con esta herramienta que permite aumentar la seguridad en redes.
10.7 Tratamiento de soportes de información
e-PULPO permite la gestion de los soportes de información como un activos de la organización, relacionado relacionado con otros y con una valoracion asociada a su criticidad.
10.8 Intercambios de información
No aplica a la funcionalidad de e-PULPO como plataforma.
10.9 Servicios de comercio electrónico
No aplica a la funcionalidad de e-PULPO como plataforma.
10.10 Supervisión
A través del módulo OSSIM que integra a e-PULPO se puede gestionar los registros para auditorías, administración, operación y análisis de fallos.
11 Control de acceso 11.1 Requisitos del control de acceso
Implantación de un SGSI con e-PULPO
e-PULPO permite que la política de seguridad se gestione desde el módulo de gestión documental.
Página 21 de 25
Apartado
Soporte en e-PULPO requerimiento.
10.4 Protección frente a código dañino/descargable dañino/descargable
No aplica a la funcionalidad de e-PULPO como plataforma.
10.5 Copias de seguridad
e-PULPO dispone de mecanismos propios de backup.
10.6 Gestión de la seguridad de las redes
e-PULPO a través del módulo OSSIM se integra con esta herramienta que permite aumentar la seguridad en redes.
10.7 Tratamiento de soportes de información
e-PULPO permite la gestion de los soportes de información como un activos de la organización, relacionado relacionado con otros y con una valoracion asociada a su criticidad.
10.8 Intercambios de información
No aplica a la funcionalidad de e-PULPO como plataforma.
10.9 Servicios de comercio electrónico
No aplica a la funcionalidad de e-PULPO como plataforma.
10.10 Supervisión
A través del módulo OSSIM que integra a e-PULPO se puede gestionar los registros para auditorías, administración, operación y análisis de fallos.
11 Control de acceso 11.1 Requisitos del control de acceso
Implantación de un SGSI con e-PULPO
e-PULPO permite que la política de seguridad se gestione desde el módulo de gestión documental.
Página 21 de 25
Apartado
Soporte en e-PULPO
11.2 Gestión de usuarios
e-PULPO tiene gestión propia sobre los usuarios y asignación de privilegios a través de perfiles.
11.3 Responsabilidades de los usuarios
e-PULPO dispone de un módulo de Formación y Concienciación para difundir las responsabilidades.
11.4 Control de acceso a la red
No aplica a la funcionalidad de e-PULPO como plataforma.
11.5 Control del acceso a sistemas en operación
No aplica a la funcionalidad de e-PULPO como plataforma.
11.6 Control de acceso a datos y aplicaciones
No aplica a la funcionalidad de e-PULPO como plataforma.
11.7 Equipos móviles y tele-trabajo
e-PULPO permite la gestion de equipos moviles como activos del sistema.
12 Adquisición, desarrollo y mantenimiento de los sistemas de información 12.1 Requisitos de seguridad
Ofrece los resultados de un análisis de seguridad permitiendo la modificación de procedimientos para lograr el cumplimiento de requisitos.
12.2 Garantías de procesamiento de información
e-PULPO como plataforma realiza validación de los datos de entrada.
12.3 Controles criptográficos
e-PULPO gestiona las claves de sus propios usuarios.
Implantación de un SGSI con e-PULPO
Página 22 de 25
Apartado
Soporte en e-PULPO
11.2 Gestión de usuarios
e-PULPO tiene gestión propia sobre los usuarios y asignación de privilegios a través de perfiles.
11.3 Responsabilidades de los usuarios
e-PULPO dispone de un módulo de Formación y Concienciación para difundir las responsabilidades.
11.4 Control de acceso a la red
No aplica a la funcionalidad de e-PULPO como plataforma.
11.5 Control del acceso a sistemas en operación
No aplica a la funcionalidad de e-PULPO como plataforma.
11.6 Control de acceso a datos y aplicaciones
No aplica a la funcionalidad de e-PULPO como plataforma.
11.7 Equipos móviles y tele-trabajo
e-PULPO permite la gestion de equipos moviles como activos del sistema.
12 Adquisición, desarrollo y mantenimiento de los sistemas de información 12.1 Requisitos de seguridad
Ofrece los resultados de un análisis de seguridad permitiendo la modificación de procedimientos para lograr el cumplimiento de requisitos.
12.2 Garantías de procesamiento de información
e-PULPO como plataforma realiza validación de los datos de entrada.
12.3 Controles criptográficos
e-PULPO gestiona las claves de sus propios usuarios.
Implantación de un SGSI con e-PULPO
Página 22 de 25
Apartado
Soporte en e-PULPO
12.4 Seguridad de los archivos del sistema
e-PULPO protege los la información con trata y procesa.
12.5 Seguridad en los procesos de desarrollo y soporte
e-PULPO permite realizar procedimientos de control de cambios desde el módulo de Gestión de Activos y Tickets.
12.6 Gestión de vulnerabilidades
e-PULPO permite monitorizar y gestionar vulnerabilidades en el software de forma nativa usando fuentes RSS filtradas según el software en uso. A través del Módulo OSSIM se integra para poder gestionar además vulnerabilidades técnicas.
13 Gestión de incidentes de seguridad de información 13.1 Comunicación de incidencias y debilidades
La gestión de tickets permite el aviso por e-Mail para comunicar las incidencias detectadas.
13.2 Gestión de incidentes y mejoras
El ciclo del sistema de "ticketing" permitirá gestionar tales incidencias.
14 Gestión de la continuidad del negocio 14.1 Seguridad de la información en relación a la gestión de la continuidad
Implantación de un SGSI con e-PULPO
e-PULPO permite realizar un análisis de impacto para reforzar la continuidad del negocio. Mediante inteligencia artificial es capaz de generar planes de recuperación ante desastres automáticos.
Página 23 de 25
Apartado
Soporte en e-PULPO
12.4 Seguridad de los archivos del sistema
e-PULPO protege los la información con trata y procesa.
12.5 Seguridad en los procesos de desarrollo y soporte
e-PULPO permite realizar procedimientos de control de cambios desde el módulo de Gestión de Activos y Tickets.
12.6 Gestión de vulnerabilidades
e-PULPO permite monitorizar y gestionar vulnerabilidades en el software de forma nativa usando fuentes RSS filtradas según el software en uso. A través del Módulo OSSIM se integra para poder gestionar además vulnerabilidades técnicas.
13 Gestión de incidentes de seguridad de información 13.1 Comunicación de incidencias y debilidades
La gestión de tickets permite el aviso por e-Mail para comunicar las incidencias detectadas.
13.2 Gestión de incidentes y mejoras
El ciclo del sistema de "ticketing" permitirá gestionar tales incidencias.
14 Gestión de la continuidad del negocio 14.1 Seguridad de la información en relación a la gestión de la continuidad
Implantación de un SGSI con e-PULPO
e-PULPO permite realizar un análisis de impacto para reforzar la continuidad del negocio. Mediante inteligencia artificial es capaz de generar planes de recuperación ante desastres automáticos.
Página 23 de 25
Apartado
Soporte en e-PULPO
15 Cumplimiento 15.1 Satisfacción de requisitos legales
e-PULPO protege los documentos de la organización, su privacidad e incluso evita el uso indebido de los mismos. Ofrece la gestión de los requisitos de la LOPD, así como auditoría de dicho cumplimiento usando para ello el perfil correspondiente en PILAR.
15.2 Cumplimiento de políticas, normas y reglamentos técnicos
e-PULPO es una herramienta de apoyo, pero la supervisión debe realizarla la organización.
15.3 Consideraciones sobre auditoría de los sistemas de información
e-PULPO se puede utilizar para realizar una auditoría del cumplimiento. Mediante el Módulo OSSIM es capaz de realizar pruebas de hacking ético.
Implantación de un SGSI con e-PULPO
Página 24 de 25
Apartado
Soporte en e-PULPO
15 Cumplimiento 15.1 Satisfacción de requisitos legales
e-PULPO protege los documentos de la organización, su privacidad e incluso evita el uso indebido de los mismos. Ofrece la gestión de los requisitos de la LOPD, así como auditoría de dicho cumplimiento usando para ello el perfil correspondiente en PILAR.
15.2 Cumplimiento de políticas, normas y reglamentos técnicos
e-PULPO es una herramienta de apoyo, pero la supervisión debe realizarla la organización.
15.3 Consideraciones sobre auditoría de los sistemas de información
e-PULPO se puede utilizar para realizar una auditoría del cumplimiento. Mediante el Módulo OSSIM es capaz de realizar pruebas de hacking ético.
Implantación de un SGSI con e-PULPO
Página 24 de 25
5 Sobre Ingenia Ingenia es una empresa de servicios en Tecnologías de la Información, Comunicaciones e Internet, fundada en 1992 y localizada en el Parque Tecnológico de Andalucía, siendo sus socios Unicaja, MP Sistemas y Promálaga. Actualmente tiene presencia en Málaga, Sevilla, Madrid y Barcelona, con delegaciones comerciales en México, Argentina y Jordania y una marcada experiencia profesional en proyectos europeos y en el norte de África. La experiencia de dieciocho años que nos avala nos ha permitido diversificar nuestras soluciones y servicios, consiguiendo de este modo un amplio catálogo que nos permite acercar la tecnología, innovación, experiencia y resultados a las
5 Sobre Ingenia Ingenia es una empresa de servicios en Tecnologías de la Información, Comunicaciones e Internet, fundada en 1992 y localizada en el Parque Tecnológico de Andalucía, siendo sus socios Unicaja, MP Sistemas y Promálaga. Actualmente tiene presencia en Málaga, Sevilla, Madrid y Barcelona, con delegaciones comerciales en México, Argentina y Jordania y una marcada experiencia profesional en proyectos europeos y en el norte de África. La experiencia de dieciocho años que nos avala nos ha permitido diversificar nuestras soluciones y servicios, consiguiendo de este modo un amplio catálogo que nos permite acercar la tecnología, innovación, experiencia y resultados a las necesidades de nuestros clientes. Reconocida por su capacidad e implicación en sus proyectos, Ingenia ha colaborado a lo largo de su trayectoria con una lista de más de mil clientes pertenecientes tanto al sector público como al privado, así como hospitales, universidades, fundaciones, etc., aportándoles valor con soluciones y servicios a medida. Para ello cuenta con un equipo multidisciplinar y profesional para garantizar siempre el mejor servicio. Nuestro objetivo es satisfacer a nuestros clientes. Por ello en Ingenia estudiamos cuidadosamente las soluciones a implementar para conseguir los mejores resultados. Más información en www.ingenia.es y www.e-pulpo.es
Implantación de un SGSI con e-PULPO
Página 25 de 25