traducido por Federico Dilla
Secure data management, ISO 27001 from the methodological point of view
December 2, 2014Vintegris.info
The business world is advancing day by day and becoming more agile. The mechanics of change required to have greater certainty about the safety of the data of a company and a clear management over the domains affecting the technology sector. For this reason more and more companies consider the ISO 27001 certification as an imperative to keep control of the data that are part of the business.
27001 is an international standard issued by the International Organization for Standardization (ISO) that describes how to manage information security in each organization. The latest revision of this standard was published in 2013 and now his full name is ISO / IEC 27001: 2013.
ISO 27001 can be implemented in any company, and certified by a qualified entity for this purpose. ISO 27001 responds to a need for increasingly popular market and have a methodology to implement safety management of information within a company.
With the advent of the new year, many companies want to know the state of art of their own information security and for that reason we attach domains ISO 27001 touches so that our readers can put together a consistent report in this regard and establish the parameters to improve in 2015 to have a full security management of data
SECURITY POLICY.
Guidelines management in information security.
Set of policies for information security
Review of policies for information security
ORGANIZATIONAL ASPECTS OF INFORMATION SECURITY
Internal organization
Assign responsibilities for information security
Segregation of duties
Contact with authorities
Contact with special interest groups
Information Security in project management
Devices for mobility and teleworking
Usage Policy mobility devices
Telecommuting
LINKED SAFETY HUMAN RESOURCES
Before hiring
Vetting
Terms and conditions of employment
During the procurement
Management Responsibilities
Awareness, education and training in information security
Disciplinary process
Cessation or change in job
Cessation or change in job
ASSET MANAGEMENT
Responsibility for assets
Asset inventory
Ownership of assets
Acceptable use of assets
Return of assets
Information classification
Classification Guidelines
Labeling information and manipulated
Asset Handling
Media handling storage
Removable Media Management
Deleting Media
Physical media in transit
ACCESS CONTROL
Business requirements for access control
Access control policy
Control of access to networks and associated services
User Access Management
Management of high / low user registration
Management of access rights assigned to users
Managing access rights with special privileges
Confidential Information Management User Authentication
Review the access rights of users
Withdrawal or adaptation of access rights
User Responsibilities
Use of confidential information for authentication
Access control systems and applications
Restricting access to information
Safe procedures login
User Password Management
Use of systems management tools
Control access to the source code of the programs
ENCRYPTION
Cryptographic controls
Usage Policy cryptographic controls
Key management.
PHYSICAL AND ENVIRONMENTAL SECURITY
Secure areas
Physical security perimeter
Physical entry controls
Securing offices, rooms and facilities
Protection against external and environmental threats
Work in secure areas
Public access areas, loading and unloading
Safety equipment
Construction and equipment protection
Supply installations
Safety wiring
Maintenance of equipment
Outflow of assets outside the company premises
Safety equipment and assets outside facilities
Reuse or safe removal of storage devices
User computer unattended
Workplace policy clear and lock screen
OPERATIONAL SAFETY
Responsibilities and operating procedures
Documentation of operating procedures
Change Management
Management capabilities
Separation of development environments, testing and production
Protection against malicious code
Controls against malicious code
Backups
Backing up information
Activity Log and supervision
Registration and event management activity
Protection of information records
Activity Logs administrator and system operator
Synchronizing Clocks
Control of operational software
Installing the software on production systems
Vulnerability management technique
Managing technical vulnerabilities
Restrictions on installing software
Considerations for auditing information systems
Controls auditing information systems
SECURITY IN TELECOMMUNICATIONS
Managing network security
Network controls
Security mechanisms associated network services
Segregation Networking
Exchange of information with external parties
Policies and procedures for exchange of information
Exchange agreements
Electronic messaging
Confidentiality and secrecy agreements
ACQUISITION, DEVELOPMENT AND MAINTENANCE OF INFORMATION SYSTEMS
Safety requirements for information systems
Analysis and specification of security requirements
Security communications services accessible by public networks
Protection of information through telecommunications networks
Security in development and support processes
Insurance policy software development
Control procedures systems changes
Technical review of applications after making changes to the operating system
Restrictions on changes to software packages
Using engineering principles in protection systems
Security in development environments
Outsourcing software development
Functional tests during the development of systems
Acceptance Testing
Test Data
Protection of data used in tests
RELATIONS WITH SUPPLIERS.
Information security in relationships with suppliers
Security policy information for suppliers
Treatment of risk within agreements suppliers
Supply chain information technology and communications
Managing service delivery by suppliers.
Monitoring and review of third party services
Management changes in services provided by third parties
INCIDENT MANAGEMENT IN INFORMATION SECURITY.
Incident management and information security improvements.
Responsibilities and Procedures
Notification of security event information
Notification of security weaknesses
Rating security event information and decision making
Response to security incidents
Learning incidents of information security
Gathering evidence
ASPECTS OF INFORMATION SECURITY MANAGEMENT BUSINESS CONTINUITY
Continuity of information security
Planning continuity of information security
Implementation of the continuity of information security
Verification, review and evaluation of the continuity of information security
Redundancies
Availability of facilities for information processing
COMPLIANCE
Compliance with legal and contractual requirements
Identification of applicable legislation
Intellectual property rights (IPR)
Protection of organizational records
Data protection and privacy of personal information
Regulation of cryptographic controls
Reviews of information security
Independent review of information security
Compliance with security policies and standards
Verification of compliance
By Jose Maria Jimenez - Security Analyst Vintegris
Administración segura de datos, ISO 27001 desde el punto de vista metodológico
El mundo de los negocios avanza día a día y se vuelve cada vez más ágil. La mecánica del cambio requiere tener mayor certeza sobre la seguridad de los datos de una compañía y un gerenciamiento claro sobre los dominios que afectan al sector de tecnología. Por esta razón cada vez más empresas consideran la certificación ISO 27001 como una necesidad imperiosa para no perder el control de los datos que son parte del negocio.
27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) que describe cómo gestionar la seguridad de la información en cada organización. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013.
ISO 27001 puede ser implementada en cualquier tipo de empresa, y certificada por una entidad habilitada para tal fin. ISO 27001 responde a una necesidad de mercado cada vez más demandada y es contar con una metodología para implementar la gestión de la seguridad de la información dentro de una compañía.
Con el advenimiento del fin de año, muchas compañías desean conocer el estado del arte de su propia seguridad de la información y por esa razón adjuntamos los dominios que la norma ISO 27001 toca para que nuestros lectores puedan armar un informe consistente en este sentido y establecer los parámetros que deben mejorar en 2015 para tener una administración plena de la seguridad de los datos
- POLÍTICAS DE SEGURIDAD.
- Directrices de la Dirección en seguridad de la información.
- Conjunto de políticas para la seguridad de la información
- Revisión de las políticas para la seguridad de la información
- Directrices de la Dirección en seguridad de la información.
- ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
- Organización interna
- Asignación de responsabilidades para la seguridad de la información
- Segregación de tareas
- Contacto con las autoridades
- Contacto con grupos de interés especial
- Seguridad de la información en la gestión de proyectos
- Dispositivos para movilidad y teletrabajo
- Política de uso de dispositivos para movilidad
- Teletrabajo
- Organización interna
- SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
- Antes de la contratación
- Investigación de antecedentes
- Términos y condiciones de contratación
- Durante la contratación
- Responsabilidades de gestión
- Concienciación, educación y capacitación en seguridad de la información
- Proceso disciplinario
- Cese o cambio de puesto de trabajo
- Cese o cambio de puesto de trabajo
- Antes de la contratación
- GESTIÓN DE ACTIVOS
- Responsabilidad sobre los activos
- Inventario de activos
- Propiedad de los activos
- Uso aceptable de los activos
- Devolución de activos
- Clasificación de la información
- Directrices de clasificación
- Etiquetado y manipulado de la información
- Manipulación de activos
- Manejo de los soportes de almacenamiento
- Gestión de soportes extraíbles
- Eliminación de soportes
- Soportes físicos en tránsito
- Responsabilidad sobre los activos
- CONTROL DE ACCESOS
- Requisitos de negocio para el control de accesos
- Política de control de accesos
- Control de acceso a las redes y servicios asociados
- Gestión de acceso de usuario
- Gestión de altas/bajas en el registro de usuarios
- Gestión de los derechos de acceso asignados a usuarios
- Gestión de los derechos de acceso con privilegios especiales
- Gestión de información confidencial de autenticación de usuarios
- Revisión de los derechos de acceso de los usuarios
- Retirada o adaptación de los derechos de acceso
- Responsabilidades del usuario
- Uso de información confidencial para la autenticación
- Control de acceso a sistemas y aplicaciones
- Restricción del acceso a la información
- Procedimientos seguros de inicio de sesión
- Gestión de contraseñas de usuario
- Uso de herramientas de administración de sistemas
- Control de acceso al código fuente de los programas
- Requisitos de negocio para el control de accesos
- CIFRADO
- Controles criptográficos
- Política de uso de los controles criptográficos
- Gestión de claves.
- Controles criptográficos
- SEGURIDAD FÍSICA Y AMBIENTAL
- Áreas seguras
- Perímetro de seguridad física
- Controles físicos de entrada
- Seguridad de oficinas, despachos y recursos
- Protección contra las amenazas externas y ambientales
- El trabajo en áreas seguras
- Áreas de acceso público, carga y descarga
- Seguridad de los equipos
- Emplazamiento y protección de equipos
- Instalaciones de suministro
- Seguridad del cableado
- Mantenimiento de los equipos
- Salida de activos fuera de las dependencias de la empresa
- Seguridad de los equipos y activos fuera de las instalaciones
- Reutilización o retirada segura de dispositivos de almacenamiento
- Equipo informático de usuario desatendido
- Política de puesto de trabajo despejado y bloqueo de pantalla
- Áreas seguras
- SEGURIDAD EN LA OPERATIVA
- Responsabilidades y procedimientos de operación
- Documentación de procedimientos de operación
- Gestión de cambios
- Gestión de capacidades
- Separación de entornos de desarrollo, prueba y producción
- Protección contra código malicioso
- Controles contra el código malicioso
- Copias de seguridad
- Copias de seguridad de la información
- Registro de actividad y supervisión
- Registro y gestión de eventos de actividad
- Protección de los registros de información
- Registros de actividad del administrador y operador del sistema
- Sincronización de relojes
- Control del software en explotación
- Instalación del software en sistemas en producción
- Gestión de la vulnerabilidad técnica
- Gestión de las vulnerabilidades técnicas
- Restricciones en la instalación de software
- Consideraciones de las auditorías de los sistemas de información
- Controles de auditoría de los sistemas de información
- Responsabilidades y procedimientos de operación
- SEGURIDAD EN LAS TELECOMUNICACIONES
- Gestión de la seguridad en las redes
- Controles de red
- Mecanismos de seguridad asociados a servicios en red
- Segregación de redes
- Intercambio de información con partes externas
- Políticas y procedimientos de intercambio de información
- Acuerdos de intercambio
- Mensajería electrónica
- Acuerdos de confidencialidad y secreto
- Gestión de la seguridad en las redes
- ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN
- Requisitos de seguridad de los sistemas de información
- Análisis y especificación de los requisitos de seguridad
- Seguridad de las comunicaciones en servicios accesibles por redes públicas
- Protección de las transacciones por redes telemáticas
- Seguridad en los procesos de desarrollo y soporte
- Política de desarrollo seguro de software
- Procedimientos de control de cambios en los sistemas
- Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo
- Restricciones a los cambios en los paquetes de software
- Uso de principios de ingeniería en protección de sistemas
- Seguridad en entornos de desarrollo
- Externalización del desarrollo de software
- Pruebas de funcionalidad durante el desarrollo de los sistemas
- Pruebas de aceptación
- Datos de prueba
- Protección de los datos utilizados en pruebas
- Requisitos de seguridad de los sistemas de información
- RELACIONES CON SUMINISTRADORES.
- Seguridad de la información en las relaciones con suministradores
- Política de seguridad de la información para suministradores
- Tratamiento del riesgo dentro de acuerdos de suministradores
- Cadena de suministro en tecnologías de la información y comunicaciones
- Gestión de la prestación del servicio por suministradores.
- Supervisión y revisión de los servicios prestados por terceros
- Gestión de cambios en los servicios prestados por terceros
- Seguridad de la información en las relaciones con suministradores
- GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.
- Gestión de incidentes de seguridad de la información y mejoras.
- Responsabilidades y procedimientos
- Notificación de los eventos de seguridad de la información
- Notificación de puntos débiles de la seguridad
- Valoración de eventos de seguridad de la información y toma de decisiones
- Respuesta a los incidentes de seguridad
- Aprendizaje de los incidentes de seguridad de la información
- Recopilación de evidencias
- Gestión de incidentes de seguridad de la información y mejoras.
- ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
- Continuidad de la seguridad de la información
- Planificación de la continuidad de la seguridad de la información
- Implantación de la continuidad de la seguridad de la información
- Verificación, revisión y evaluación de la continuidad de la seguridad de la información
- Redundancias
- Disponibilidad de instalaciones para el procesamiento de la información
- Continuidad de la seguridad de la información
- CUMPLIMIENTO
- Cumplimiento de los requisitos legales y contractuales
- Identificación de la legislación aplicable
- Derechos de propiedad intelectual (DPI)
- Protección de los registros de la organización
- Protección de datos y privacidad de la información personal
- Regulación de los controles criptográficos
- Revisiones de la seguridad de la información
- Revisión independiente de la seguridad de la información
- Cumplimiento de las políticas y normas de seguridad
- Comprobación del cumplimiento
- Cumplimiento de los requisitos legales y contractuales
