Normas, estándares, Leyes y demás de las políticas de seguridad

Normas, estándares, Leyes y demás de las políticas de seguridad

Las normas son un conjunto de lineamientos, reglas, recomendaciones y controles con el propósito de dar respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a través de funciones, delegación de responsabilidades y otras técnicas, con un objetivo claro y acorde a las necesidades de seguridad establecidas para el entorno administrativo de la red organizacional.

Una norma de seguridad establece unos requisitos que se sustentan en la política y que regulan determinados aspectos de seguridad. Son por tanto, declaraciones a satisfacer. Una norma debe ser clara, concisa y no ambigua en su interpretación. En cuanto a la estructura de un documento normativo, se recomienda estructurarlo en los siguientes apartados:

Objetivo: declaración del propósito o intención de la redacción del documento y de los objetivos de seguridad relacionados con la política que se intentan satisfacer.

Definiciones: Se indican las definiciones de aquellos términos que aparezcan en la norma y que pudieran ofrecer dificultad para su comprensión. Es una forma de eliminar la ambigüedad en la interpretación al establecer el significado en la norma de los términos utilizados.

Responsables del cumplimiento: se define dentro de la Organización qué departamento o responsable velará por el cumplimiento de la norma y revisará su correcta implantación o cumplimiento.

Incumplimiento: se establecen las consecuencias que se derivarán del incumplimiento de la norma cuando éste sea detectado o las acciones disciplinarias que ocasionarán.

Normas a aplicar: debe contener los requisitos de seguridad que se declaran de obligado cumplimiento. Podrán agruparse los requisitos por categorías, estableciendo apartados donde se agrupen los requisitos relacionados. También los enunciados pueden numerarse para poder posteriormente referenciarlos. Documentos relacionados: se indican otros documentos del marco normativo que pudieran estar relacionados con el cumplimiento de la norma.

En cuanto a las recomendaciones en la redacción del documento, se debe procurar que:

El cumplimiento debe ser factible a nivel organizativo y técnico.

La redacción debe ser clara y resumida.

Las afirmaciones realizadas dentro del apartado “Normas a aplicar” deben ser taxativas, no ambiguas y deben permitir la revisión o auditoría del cumplimiento del hecho reglado.

El tiempo verbal de las normas debe ser presente del indicativo.

La divulgación se realizará entre las áreas afectadas o implicadas en el cumplimiento.

Su aprobación debe estar formalizada, indicando los plazos de vigencia y de revisión de la norma. Debe estar bajo un control de versiones.

Normas:Con el fin de proporcionar un marco de Gestión de la Seguridad de Información utilizable por cualquier tipo de organización, independientemente de su tamaño o actividad, se ha creado un conjunto de estándares bajo el nombre de ISO/IEC 27000.

MARCO LEGAL Y JURÍDICO DE LA SEGURIDAD. NORMATIVAS DE SEGURIDAD.

Desde la publicación del la Ley Orgánica de Protección de Datos de Carácter Personal en el año 1999 hasta la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos del año 2007, hay una serie de leyes que, de una manera u otra, están relacionadas con la seguridad de la información, además de numerosas regulaciones sectoriales en diversos ámbitos: financiero, telecomunicaciones, agrario, etc.

LEGISLACIÓN ESPAÑOLA

Ley Orgánica 15/99 de Protección de Datos de Carácter Personal

Esta ley se complementa con el reglamento estipulado en el Real Decreto RD 1720/2007.

El objetivo de esta Ley es garantizar y proteger, en lo concerniente al tratamiento de los datos personales (automatizados o no), las libertades públicas y los derechos fundamentales de las personas físicas y, especialmente, de su honor e intimidad personal y familiar.

Los derechos recogidos en la LOPD son:

•Las personas de las que se almacena datos de carácter personal, tienen una serie de derechos amparados por esta ley:

o Derecho de información: Cuando alguien proporciona sus datos debe ser informado de que van a ser almacenados.

o Derecho de acceso, cancelación, rectificación y oposición: La persona puede ver la información que se dispone de él, puede cambiar esos datos para que sean correctos y exactos, cancelar la información que se almacene de él y oponerse a que se almacene.

Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico (LSSI)

Esta Ley se encarga de regular las obligaciones de los prestadores de servicios y los servicios que prestan. Entre las obligaciones que estipula la Ley están:

• Los prestadores de servicios deben facilitar sus datos de contacto.

• Deben colaborar con las autoridades, reteniendo los datos de conexión y tráfico durante 12 meses.

• Los que albergan datos proporcionados por un cliente, no serán responsables por la información almacenada a petición del destinatario, siempre que:

o No tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o

o Si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.

Cuando transmitan información de terceros, los proveedores de servicio no tendrán responsabilidad al respecto si:

• No modifican la información.

• Permiten el acceso a ella sólo a los destinatarios autorizados 

• Actualizan correctamente la información.

• No utilizan su posición con el fin de obtener datos sobre la utilización de la información

• Retiran la información que hayan almacenado o hacen imposible el acceso a ella, en cuanto sepan que ha sido retirada del lugar de la red en que se encontraba, o que un tribunal u órgano administrativo competente ha ordenado retirarla o impedir que se acceda a ella.

Ley 32/2003, general de telecomunicaciones

El objeto de esta ley es la regulación de las telecomunicaciones. Entre los objetivos de esta Ley están:

• Fomentar la competencia. 

• Garantizar el cumplimiento de las obligaciones de servicio público en la explotación de redes y la prestación de servicios de comunicaciones electrónicas.

• Promover el desarrollo del sector de las telecomunicaciones.

• Hacer posible el uso eficaz de los recursos limitados de telecomunicaciones.

• Defender los intereses de los usuarios. 

• Fomentar, en la medida de lo posible, la neutralidad tecnológica en la regulación.

• Promover el desarrollo de la industria de productos y servicios de telecomunicaciones.

• Contribuir al desarrollo del mercado interior de servicios de comunicaciones electrónicas en la Unión Europea.

Ley 59/2003 de firma electrónica

Esta Ley regula la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación.

La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.

La firma electrónica reconocida tendrá, respecto de los datos consignados en forma electrónica, el mismo valor que la firma manuscrita en relación con los consignados en papel, por lo que tanto su generación como su utilización deben ser cuidadosamente controladas para evitar problemas.

R.D.L, 1/1996 Ley de Propiedad Intelectual

La propiedad intelectual de una obra literaria, artística o científica corresponde al autor y le da la plena disposición y el derecho exclusivo a la explotación de la obra. Las obras pueden estar expresadas en cualquier medio o soporte, tangible o intangible, actualmente conocido o que se invente en el futuro como:

• Los libros, folletos, impresos, epistolarios, escritos, discursos y alocuciones, conferencias, informes forenses, etc.

• Los proyectos, planos, maquetas y diseños de obras arquitectónicas y de ingeniería.

• Los gráficos, mapas y diseños relativos a la topografía, la geografía y, en general, a la ciencia.

• Las obras fotográficas.

• Los programas de ordenador.

Al amparo de esta Ley, las organizaciones protegen su conocimiento y las obliga a respetar el de las demás. El otro punto relevante en el ámbito de la seguridad de la información es la obligación de contar únicamente con software original (propietario o libre), ya que la utilización de software sin licencia sería una infracción de la Ley.

Ley 17/2001 de Propiedad Industrial

Es la que regula los derechos sobre:

• Las marcas.

• Los nombres comerciales.

El organismo que se encarga de mantener el registro de marcas es la Oficina de Patentes y Marcas. Para tener derechos de propiedad sobre una marca hay que registrarla en dicha Oficina. 

Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos

Los puntos más destacables de la Ley son:

• Los ciudadanos verán reconocidos nuevos derechos en sus relaciones con las administraciones públicas.

• Se creará la figura del Defensor del Usuario.

• Los trámites y gestiones podrán hacerse desde cualquier lugar, en cualquier momento.

• La administración será más fácil, más ágil y más eficaz.

• Los ciudadanos pasan a tomar la iniciativa en sus relaciones con la administración.

Contará con un Esquema Nacional de Seguridad y otro de Interoperabilidad, para que los servicios ofrecidos cuenten con un mínimo nivel de seguridad y las distintas administraciones puedan comunicarse con fluidez.

Estándares de las Políticas de Seguridad Informática

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. A continuación se incorpora una relación con la serie de normas ISO 27000 y una descripción de las más significativas:

UNE-ISO 27001Esta norma es la definición de los procesos de gestión de la seguridad, por lo tanto, es una especificación para un SGSI y, en este momento, es la única norma Certificable, dentro de la familia ISO 27000.

ISO 27002La ISO 27002 viene a ser un código de buenas prácticas en el que se recoge un catálogo de los controles de seguridad y una guía para la implantación de un SGSI.

Cada uno de los dominios conforma un capítulo de la norma y se centra en un determinado aspecto de la seguridad de la información. En el siguiente dibujo se muestra la distribución de dichos dominios y el aspecto de seguridad que cubren:

Distribucion de dominios de la Norma ISO 27002

ISO 27002 (documentación)

La pretensión de esta normativa es la elaboración de un SGSI que minimice los riesgos que se hayan detectado en los Análisis de Riesgos hasta un nivel asumible por la organización, en relación siempre a los objetivos de negocio. Es importante destacar que cualquier medida de protección que se haya implantado debe quedar perfectamente documentada.

La documentación que se genera con la implantación del SGSI se estructurará de la siguiente forma:

(Grafica)

Tipos de documentacion

Donde las Políticas sientan las bases de la seguridad constituyendo la redacción de los objetivos generales y las implantaciones que ha llevado a cabo la organización. Pretenden indicar las líneas generales para conseguir los objetivos marcados sin entrar en detalles técnicos. Deben ser conocidas por todo el personal de la organización.

Los Procedimientos desarrollan los objetivos marcados en la Políticas. En ellos sí que aparecerían detalles más técnicos y se concreta cómo conseguir los objetivos expuestos en las Políticas. No es necesario que los conozcan todas las personas de la organización sino, únicamente, aquellas que lo requieran para el desarrollo de sus funciones.

Las Instrucciones constituyen el desarrollo de los Procedimientos. En ellos se llega hasta describir los comandos técnicos que se deben realizar para la ejecución de dichos Procedimientos.

Y por último los Registros evidencian la efectiva implantación del SGSI y el cumplimiento de los requisitos. En este punto también es importante el contar con una serie deindicadores o métricas de seguridad que permitan evaluar la consecución de los objetivos de seguridad establecidos.

El Estandar ISO 17799 (El mismo 27002)

El estándar de seguridad ISO 17799 fue preparado por la British Standard Institution (con el nombre de BS 7799) y fue adoptado por el comité técnico de la ISO en Diciembre del año 2000.

Directrices del estándar 17799

ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)".

La versión de 2005 del estándar incluye las siguientes once secciones principales:

Política de Seguridad de la Información.

Organización de la Seguridad de la Información.

Gestión de Activos de Información.

Seguridad de los Recursos Humanos.

Seguridad Física y Ambiental.

Gestión de las Comunicaciones y Operaciones.

Control de Accesos.

Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.

Gestión de Incidentes en la Seguridad de la Información.

Gestión de Continuidad del Negocio.

Cumplimiento.

Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 133 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.

Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la seguridad de la información, se espera que ISO/IEC 17799:2005 pase a ser renombrado como ISO/IEC 27002 en la revisión y actualización de sus contenidos en el 2007.

LEYES

Ley 1273 de 2009 (Colombia) [1]:

La Ley 1273 de 2009 creó nuevos tipos penales relacionados con delitos informáticos y la protección de la información y de los datos con penas de prisión de hasta 120 meses y multas de hasta 1500 salarios mínimos legales mensuales vigentes.

El 5 de enero de 2009, el Congreso de la República de Colombia promulgó la Ley 1273 “Por medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “De la Protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”.

Dicha ley tipificó como delitos una serie de conductas relacionadas con el manejo de datos personales, por lo que es de gran importancia que las empresas se blinden jurídicamente para evita incurrir en alguno de estos tipos penales.

Articulos relevantes de la ley:

- Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO.

- Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN.

- Artículo 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS.

- Artículo 269D: DAÑO INFORMÁTICO.

- Artículo 269E: USO DE SOFTWARE MALICIOSO.

- Artículo 269F: VIOLACIÓN DE DATOS PERSONALES.

- Artículo 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES.

Un punto importante a considerar es que el artículo 269H agrega como circunstancias de agravación punitiva de los tipos penales descritos anteriormente el aumento de la pena de la mitad a las tres cuartas partes si la conducta se cometiere:

Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros.

Por servidor público en ejercicio de sus funciones

Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este.

Revelando o dando a conocer el contenido de la información en perjuicio de otro.

Obteniendo provecho para si o para un tercero.

Con fines terroristas o generando riesgo para la seguridad o defensa nacional.

Utilizando como instrumento a un tercero de buena fe.

Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales.

- Artículo 269I: HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES.

- Artículo 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS.

Las empresas deben aprovechar la expedición de esta ley para adecuar sus contratos de trabajo, establecer deberes y sanciones a los trabajadores en los reglamentos internos de trabajo, celebrar acuerdos de confidencialidad con los mismos y crear puestos de trabajo encargados de velar por la seguridad de la información.

Pero más allá de ese importante factor, con la promulgación de esta ley se obtiene una herramienta importante para denunciar los hechos delictivos a los que se pueda ver afectado, un cambio importante si se tiene en cuenta que anteriormente las empresas no denunciaban dichos hechos no sólo para evitar daños en su reputación sino por no tener herramientas especiales.