INGENIERÍA Y SERVICIOS IT, SEGURIDAD

NORMA ISO/IEC 27017 – CONTROLES DE SEGURIDAD PARA SERVICIOS CLOUD

Tecnología de la información – Técnicas de seguridad – Código de prácticas para los controles de seguridad de la información en base a la norma ISO/IEC 27002 para los servicios en la nube.

Utilizada conjuntamente con la familia de normas ISO 27001, la norma ISO/IEC 27017 proporciona controles para proveedores y clientes de servicios en la nube. A diferencia de muchas otras normas relacionadas con la tecnología, ISO/IEC 27017 aclara las funciones y responsabilidades de ambas partes para ayudar a que los servicios en la nube sean tan seguros como el resto de los datos incluidos en un sistema de gestión de la información certificado.

La norma proporciona una guía con 37 controles en la nube basados en ISO/IEC 27002, pero también ofrece siete nuevos controles cloud que tratan los siguientes puntos:

  • Quién es responsable de lo que ocurre entre el proveedor del servicio cloud y el cliente cloud
  • La eliminación/devolución de activos cuando un contrato se resuelve
  • Protección y separación del entorno virtual del cliente
  • Configuración de una máquina virtual
  • Operaciones y procedimientos administrativos relacionados con el entorno cloud
  • Seguimiento de la actividad de clientes en la nube
  • Alineación del entorno de la red virtual y cloud

https://www.isotools.org/2017/03/16/iso-27017-controles-seguridad-servicios-la-nube/

Anuncios
INGENIERÍA Y SERVICIOS IT, SEGURIDAD

ISO/IEC 27002

ISO/IEC 27002 es un estándar para la seguridad de la información publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La versión más reciente es la ISO/IEC 27002:2013.

ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como “la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)”.

La versión de 2013 del estándar describe los siguientes catorce dominios principales:

  1. Políticas de Seguridad: Sobre las directrices y conjunto de políticas para la seguridad de la información. Revisión de las políticas para la seguridad de la información.
  2. Organización de la Seguridad de la Información: Trata sobre la organización interna: asignación de responsabilidades relacionadas a la seguridad de la información, segregación de funciones, contacto con las autoridades, contacto con grupos de interés especial y seguridad de la información en la gestión de proyectos.
  3. Seguridad de los Recursos Humanos: Comprende aspectos a tomar en cuenta antes, durante y para el cese o cambio de trabajo. Para antes de la contratación se sugiere investigar los antecedentes de los postulantes y la revisión de los términos y condiciones de los contratos. Durante la contratación se propone se traten los temas de responsabilidad de gestión, concienciación, educación y capacitación en seguridad de la información. Para el caso de despido o cambio de puesto de trabajo también deben tomarse medidas de seguridad, como lo es des habilitación o actualización de privilegios o accesos.
  4. Gestión de los Activos: En esta parte se toca la responsabilidad sobre los activos (inventario, uso aceptable, propiedad y devolución de activos), la clasificación de la información (directrices, etiquetado y manipulación, manipulación) y manejo de los soportes de almacenamiento (gestión de soporte extraíbles, eliminación y soportes físicos en tránsito).
  5. Control de Accesos: Se refiere a los requisitos de la organización para el control de accesos, la gestión de acceso de los usuarios, responsabilidad de los usuarios y el control de acceso a sistemas y aplicaciones.
  6. Cifrado: Versa sobre los controles como políticas de uso de controles de cifrado y la gestión de claves.
  7. Seguridad Física y Ambiental: Habla sobre el establecimiento de áreas seguras (perímetro de seguridad física, controles físicos de entrada, seguridad de oficinas, despacho y recursos, protección contra amenazas externas y ambientales, trabajo en áreas seguras y áreas de acceso público) y la seguridad de los equipos (emplazamiento y protección de equipos, instalaciones de suministro, seguridad del cableado, mantenimiento de equipos, salida de activos fuera de las instalaciones, seguridad de equipos y activos fuera de las instalaciones, reutilización o retiro de equipo de almacenamiento, equipo de usuario desatendido y política de puesto de trabajo y bloqueo de pantalla).
  8. Seguridad de las Operaciones: procedimientos y responsabilidades; protección contra malware; resguardo; registro de actividad y monitorización; control del software operativo; gestión de las vulnerabilidades técnicas; coordinación de la auditoría de sistemas de información.
  9. Seguridad de las Comunicaciones: gestión de la seguridad de la red; gestión de las transferencias de información.
  10. Adquisición de sistemas, desarrollo y mantenimiento: requisitos de seguridad de los sistemas de información; seguridad en los procesos de desarrollo y soporte; datos para pruebas.
  11. Relaciones con los Proveedores: seguridad de la información en las relaciones con los proveedores; gestión de la entrega de servicios por proveedores.
  12. Gestión de Incidencias que afectan a la Seguridad de la Información: gestión de las incidencias que afectan a la seguridad de la información; mejoras.
  13. Aspectos de Seguridad de la Información para la Gestión de la Continuidad del Negocio: continuidad de la seguridad de la información; redundancias.
  14. Conformidad: conformidad con requisitos legales y contractuales; revisiones de la seguridad de la información.

Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 114 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.

INGENIERÍA Y SERVICIOS IT

GESTIÓN DEL CONOCIMIENTO EN ISO 9001:2015

normas-isoLa inclusión de la gestión del conocimiento en la norma ISO 9001:2015 tendrá un gran impacto sobre la gestión del conocimiento.

Por primera vez una de las normas de gestión empresarial más comúnmente aceptadas hace mención explícita del conocimiento como recurso clave y define los requerimientos necesarios para su gestión. Ello tiene como consecuencia el reconocimiento de la gestión del conocimiento como un elemento clave de la gestión empresarial.

La ISO 9001 es la norma de calidad más aplicada a nivel mundial, es utilizada por organizaciones de diferentes tamaños y en diferentes países para acreditar que se dispone de un sistema de gestión orientado al control de la calidad de sus productos y servicios. Cada año se emiten más de 1 millón de certificados de la norma ISO 9001.

El certificado de la norma ISO 9001 tiene un periodo de vigencia limitado que suele ser de unos tres años. La propia norma ISO se va modificando a lo largo del tiempo. En la redacción de la versión de 2015 han participado alrededor de unas 15.000 personas que se han encargado de introducir los elementos clave de la gestión empresarial. De entre éstos ha destacado la necesidad de incluir el conocimiento como recurso clave.

La nueva cláusula 7.1.6. Conocimiento organizacional nos indica lo siguiente:

La organización debe determinar los conocimientos necesarios para la operación de sus procesos Y lograr la conformidad de los productos o servicios. Se mantendrá este conocimiento, y será puesto a disposición en la medida necesaria. Al abordar las cambiantes necesidades y tendencias, la organización deberá considerar su conocimiento actual y de adquirir o acceder al conocimiento adicional necesario.

NOTA 1: El conocimiento organizacional puede incluir información tal como la propiedad intelectual y las lecciones aprendidas.

NOTA 2: para obtener los conocimientos necesarios la organización puede considerar:

Fuentes internas (por ejemplo, aprender de los fracasos y proyectos exitosos, La captura de los conocimientos y la experiencia de expertos dentro de la organización).

Fuentes externas (por ejemplo, normas, instituciones académicas, conferencias, conocimiento reunido con los clientes o proveedores).

Así por primera vez, el conocimiento y su gestión forman parte nuclear de una norma internacional para el aseguramiento de la calidad de productos y servicios.

INTERPRETACIÓN

En primer lugar es necesario recordar que esta cláusula no supone una norma para la gestión del conocimiento y tampoco implica la obligatoriedad de disponer de un sistema de gestión del conocimiento. Se trata de una cláusula de una norma de calidad que requiere a las organizaciones para que tengan en cuenta el conocimiento para asegurar la calidad de los bienes y servicios producidos. Para cumplir con este requisito la organización debe haber implantado diferentes elementos relacionados con la gestión del conocimiento como parte del sistema de gestión de calidad.

La nueva norma ofrece el siguiente comentario como guía al tipo de elementos que el auditor deberá revisar:

En la cláusula 7.1.6 la norma determina la necesidad de identificar y gestionar el conocimiento de la organización para asegurar la implantación de sus procesos y para alcanzar la conformidad de sus productos y servicios. Los requerimientos relativos al conocimiento organizacional se incluyen con el objeto de:

  • Evitar la pérdida de conocimiento (como, por ejemplo, debido a la rotación de personal) o evitar errores en la captura y distribución del conocimiento.
  • Estimular la adquisición de conocimiento por parte de la organización, a través de, por ejemplo, el aprendizaje a través de la experiencia, el mentoring o el benchmarking.

Es fácil observar en los textos anteriores claras referencias a diferentes elementos de la gestión del conocimiento. Algunos de ellos son:

  • Un sistema de aprendizaje a través de la experiencia, incluyendo utilización de una base de lecciones aprendidas.
  • Un sistema para la retención del conocimiento, incluyendo mentoring, la captura del conocimiento tácito y sistemas para compartir conocimiento.
  • Modelos de auditoría de la gestión del conocimiento, benchmarking y un modelo estratégico que permita la identificación del conocimiento crítico necesario garantizar la calidad de productos y servicios.
  • Un sistema (funciones, procesos, apoyo tecnológico) para mantener el conocimiento y ponerlo a disposición de las personas que lo requieran en el momento adecuado.

IMPLICACIONES PARA EL RESPONSABLE DE GESTIÓN DEL CONOCIMIENTO

Los nuevos requerimientos de la ISO 9001:2015 suponen un cambio trascendental en la manera de abordar la gestión del conocimiento. A partir de ahora la gestión del conocimiento forma parte del conjunto de requerimientos de una de las normas internacionales más difundidas. La gestión del conocimiento pasa de ser percibida como “algo recomendable para la organización” a ser “un requerimiento para poder obtener el certificado de calidad”.

Otro punto de gran importancia es el relacionado con la gestión de los riesgos y las oportunidades. La existencia de éste y otros nuevos elementos introducidos puede restar importancia a la nueva cláusula relacionada con la gestión del conocimiento.

Será necesario destacar la necesidad de cumplir con el requerimiento de la cláusula 7.1.6 para poder obtener la certificación según la nueva versión de la norma. Para ello será necesario:

  • Informar al comité de dirección sobre la existencia de nuevo punto en la norma ISO 9001:2015.
  • Identificar qué áreas de la organización están certificadas (o tienen previsto estarlo) por la ISO 9001:2015.
  • Compartir la información sobre este nuevo requerimiento con el responsable de gestión de la calidad.
  • Revisar con los responsables de gestión de la calidad esta nueva cláusula para ofrecerles el apoyo necesario y asegurar la correcta implantación de los elementos de gestión del conocimiento.
  • Preparar con ellos un plan para superar la próxima auditoria.

La auditoría para la certificación de la norma ISO 9001:2015 se lleva a cabo revisando una gran cantidad de aspectos relacionados con los procesos internos y con el cumplimiento de los requerimientos definidos por la norma. El auditor identifica y presenta una lista de “no conformidades”, “observaciones” o “oportunidades de mejora”. Todavía no es posible conocer cuáles serán los criterios para auditar la cláusula 7.1.6. pero es clara la importancia que los auditores darán a las siguientes evidencias relativas a:

  • La determinación de “los conocimientos necesarios para la operación de sus procesos y lograr la conformidad de los productos o servicios”. Por lo tanto, será necesario identificar ese conocimiento y disponer de una relación de los aspectos incluidos.
  • El mantenimiento de “este conocimiento”. Por lo tanto, será necesario identificar el propietario de cada uno de los aspectos antes detallados y definir un procedimiento apropiado para su mantenimiento.
  • Su puesta “a disposición en la medida necesaria”. Ello implica disponer y haber implantado un procedimiento para la identificación del conocimiento, disponer de una base de conocimiento y de un motor de búsqueda. También, en el mejor de los casos, disponer de un sistema de distribución proactiva del conocimiento.
  • La capacidad del modelo para “abordar las cambiantes necesidades y tendencias”. Por lo que será necesario disponer de un plan estratégico de gestión que se adapte al conocimiento requerido por la organización en función de los cambios que se produzcan en su entorno.
  • El modelo para la identificación de “su conocimiento actual” y la determinación de “la forma de adquirir o acceder al conocimiento adicional necesario”. Por ello la organización deberá disponer de evidencias de la aplicación del plan para “obtener los conocimientos necesarios” basados en:
    • “a) Fuentes internas (por ejemplo, aprender de los fracasos y proyectos exitosos, la captura de los conocimientos y la experiencia de expertos dentro de la organización).
    • b) Fuentes externas (por ejemplo, normas, instituciones académicas, conferencias, conocimiento recopilado con los clientes o proveedores).”

La organización deberá disponer de un sistema efectivo para la gestión del aprendizaje a través de la experiencia, y de gestión de las lecciones aprendidas. Ello incluye el mantenimiento y actualización de funciones y tareas, la captura y distribución de nuevas lecciones aprendidas de la mejora de procesos, productos y servicios.

Será necesario un programa para la retención y transferencia del conocimiento.

Una correcta preparación para la auditoría facilitará la inexistencia de “no conformidades” y la emisión del correspondiente certificado del cumplimento de la norma por parte de la entidad certificadora. La posible identificación de “no conformidades” por parte del auditor implicará la necesidad de presentar un plan de mejora que demuestre cómo abordar las no conformidades detectadas y una vez sea posible demostrar la correcta implantación de las acciones correctoras se procederá a la emisión del certificado.

La función del responsable de gestión del conocimiento será la de ayudar al departamento de calidad a definir e implantar los procedimientos y el sistema de indicadores que certifiquen la correcta aplicación de la cláusula 7.1.6 de la nueva norma.

OTRAS CLÁUSULAS RELEVANTES

La cláusula 7.1.6 es la que trata específicamente del conocimiento de la organización. Existen otras sobre las que la gestión del conocimiento puede aportar soluciones.

El cláusula 7.2, por ejemplo, determina las obligaciones de la organización en relación a la competencia de sus miembros. Éstas determinarán su modelo de gestión del aprendizaje que deberá asegurar que todos los colaboradores están correctamente capacitados para desarrollar sus funciones y tareas.

La gestión del conocimiento está relacionada con las competencias de las personas y el área de gestión del conocimiento debe trabajar conjuntamente con el departamento de RR.HH. en la definición de los procesos que aseguren la adquisición del conocimiento necesario para asegurar la mejora de las competencias de las personas de la organización.  Será necesario revisar la estrategia de gestión del conocimiento para asegurar que garantiza la adquisición del conocimiento requerido para sustentar las futuras competencias de los miembros de la organización. Desde el área de gestión del conocimiento será necesario adaptar los procesos ya existentes para aumentar los vínculos con las áreas de desarrollo organizacional.

La cláusula 7.5 nos detalla los requerimientos relativos al sistema de gestión de la calidad. Detalla como la información relativa a  implantación de la norma se genera, archiva, controla, distribuye, se pone a disposición, se recupera y se utiliza. El redactado de la norma es claro en relación a la diferencia entre información y conocimiento. Ambos se tratan de cláusulas diferentes.

INGENIERÍA Y SERVICIOS IT

ISO 21500

La norma UNE-ISO 21500:2012 “Orientación sobre la gestión de proyectos”, proporciona una guía para la gestión de proyectos y puede ser utilizado por cualquier tipo de organización, incluidas las organizaciones públicas, privadas u organizaciones comunitarias, y para cualquier tipo de proyecto, independientemente de la complejidad, tamaño o duración.

UNE-ISO 21500 proporciona un alto nivel de descripción de los conceptos y procesos que se consideran para formar buenas prácticas en la gestión de proyectos. Los nuevos gerentes del proyecto, así como los gestores experimentados podrán utilizar la guía de gestión de proyectos en esta norma para mejorar el éxito del proyecto y lograr resultados de negocio.

La norma se estructura en las siguientes partes:

  • Alcance
  • Términos y definiciones
  • Conceptos de la Gestión de Proyectos
  • Procesos en la Gestión de Proyectos

Esta nueva norma, de momento, no es certificable, aunque está en fase de estudio por el Comité ISO/TC258 la posibilidad de que más adelante sea posible.

Los beneficios adicionales de la norma ISO 21500 incluyen:

  • Fomentar la transferencia de conocimientos entre proyectos y organizaciones para mejorar la ejecución de los proyectos.
  • Hacer eficientes los procesos de licitación mediante el uso de terminología coherente de gestión de proyectos.
  • Habilitar la flexibilidad de los empleados de administración de proyectos y su capacidad para trabajar en proyectos internacionales.
  • Proporcionar los principios universales de gestión de proyectos y procesos.
INGENIERÍA Y SERVICIOS IT

ISO 22301

Sistema de Gestión de Continuidad de Negocio

ISO 22301 es una norma internacional de gestión de continuidad de negocio. Esta ha sido creada en respuesta a la fuerte demanda internacional que obtuvo la norma británica original, BS 25999-2 y otras normas. ISO 22301 identifica los fundamentos de un Sistema de Gestión de la Continuidad de negocio, estableciendo el proceso, los principios y la terminología de gestión de continuidad de negocio.

normas-isoProporciona una base de entendimiento, desarrollo e implantación de continuidad de negocio dentro de la organización. Se usa para asegurar a las partes interesadas clave que su empresa está totalmente preparada y que puede cumplir con los requisitos internos, regulatorios y del cliente. La norma proporciona a las organizaciones un marco que asegura que ellos pueden continuar trabajando durante las circunstancias más difíciles e inesperadas, siempre protegiendo a sus empleados, manteniendo su reputación y proporcionando la capacidad de continuar trabajando y comercializando.

La norma ISO 22301 puede ser aplicada a todo tipo y tamaño de organizaciones que quieran:

  • Establecer, implantar, mantener y mejorar un SGCN.
  • Demostrar conformidad con la política establecida de la continuidad de negocio de la organización.
  • Dar a las partes interesadas confianza en su conformidad y compromiso con las buenas prácticas reconocidas internacionalmente

La norma ISO 22301 está organizada según la siguiente estructura:

  1. Ámbito de aplicación.
  2. Referencias normativas.
  3. Términos y definiciones.
  4. Contexto de la organización. Consiste en identificar el alcance del SGCN, teniendo en cuenta los objetivos estratégicos de la organización, sus productos y servicios claves, su tolerancia al riesgo, así como cualquier obligación reglamentaria.
  5. La alta dirección debe demostrar un compromiso continuo con el SGCN. A través de su liderazgo y acciones, la dirección puede crear un ambiente en el cual el personal esté completamente involucrado y el sistema de gestión pueda funcionar de manera eficaz en sinergia con los objetivos de la organización.
  6. Planificación. Se establecen objetivos estratégicos y principios para la orientación del SGCN en su totalidad.
  7. La gestión diaria de un Sistema de Gestión de la Continuidad de Negocio, se basa en el uso de los recursos apropiados para cada actividad. Estos recursos incluyen personal competente, toma de conciencia y comunicación, etc. todo esto debe estar apoyado por la documentación que sea necesaria.
  8. Operación. Después de la planificación del SGCN, la organización debe ponerlo en funcionamiento.
  9. Evaluación del desempeño. La norma ISO 22301 requiere un seguimiento permanente del sistema, así como revisiones periódicas para mejorar su operación.
  10. La organización puede mejorar continuamente la eficacia de su sistema de gestión a través del uso de la política de continuidad de negocio, los objetivos, los resultados de auditorías, los indicadores, las acciones correctivas y preventivas y la revisión por la dirección.
REDES

ASPECTOS FUNCIONALES DE LA ADMINISTRACIÓN DE RED

La Organización Internacional de Estándares ISO (International Organization for Standardizations) ha definido la arquitectura de Administración OSI (Open System Interconnection), cuya función es permitir supervisar, controlar y mantener una red de datos.

Esta arquitectura de administración se encuentra dividida en cinco categorías de servicios de administración denominadas Áreas Funcionales Específicas de Administración, las cuales se muestran a continuación:

Los aspectos o categorías funcionales de la administración de red brindan servicio a las actividades de Monitoreo y Control de red. Y se las puede ubicar de la siguiente manera:

Monitoreo de la red: obtiene información de los elementos:

  • Administración de prestaciones.
  • Administración de fallas.
  • Administración de contabilidad.
  • Administración de configuraciones.

Control de la red: actúa sobre los elementos:

  • Administración de configuraciones.
  • Administración de seguridad.
REDES

LA CAPA DE ENLACE DE DATOS DE OSI

La capa de enlace de datos del modelo OSI (Capa 2), es responsable de lo siguiente:

  • Permite a las capas superiores acceder a los medios.
  • Acepta paquetes de la capa 3 y los empaqueta en tramas.
  • Prepara los datos de red para la red física.
  • Controla la forma en que los datos se colocan y reciben en los medios.
  • Intercambia tramas entre los nodos en un medio de red físico, como UTP o fibra óptica.
  • Recibe y dirige paquetes a un protocolo de capa superior.
  • Lleva a cabo la detección de errores.

La notación de la capa 2 para los dispositivos de red conectados a un medio común se denomina “nodo”. Los nodos crean y reenvían tramas. La capa de enlace de datos OSI es responsable del intercambio de tramas Ethernet entre los nodos de origen y de destino a través de un medio de red físico.

La capa de enlace de datos separa de manera eficaz las transiciones de medios que ocurren a medida que el paquete se reenvía desde los procesos de comunicación de las capas superiores. La capa de enlace de datos recibe paquetes de un protocolo de capa superior y los dirige a un protocolo de las mismas características, en este caso, IPv4 o IPv6. Este protocolo de capa superior no necesita saber qué medios utiliza la comunicación.

Los protocolos de la Capa 2 especifican la encapsulamiento de un paquete en una trama y las técnicas para colocar y sacar el paquete encapsulado de cada medio. La técnica utilizada para colocar y sacar la trama de los medios se llama método de control de acceso al medio.

A medida que los paquetes se transfieren del host de origen al host de destino, generalmente deben atravesar diferentes redes físicas. Estas redes físicas pueden constar de diferentes tipos de medios físicos, como cables de cobre, fibra óptica y tecnología inalámbrica compuesta por señales electromagnéticas, frecuencias de radio y microondas, y enlaces satelitales.

Sin la capa de enlace de datos, un protocolo de capa de red, tal como IP, tendría que tomar medidas para conectarse con todos los tipos de medios que pudieran existir a lo largo de la ruta de envío. Más aún, IP debería adaptarse cada vez que se desarrolle una nueva tecnología de red o medio. Este proceso dificultaría la innovación y desarrollo de protocolos y medios de red. Este es un motivo clave para usar un método en capas en interconexión de redes.

A diferencia de los protocolos de las capas superiores del conjunto TCP/IP, los protocolos de capa de enlace de datos generalmente no están definidos por la petición de comentarios (RFC). A pesar de que el Grupo de trabajo de ingeniería de Internet (IETF) mantiene los protocolos y servicios funcionales para la suite de protocolos TCP/IP en las capas superiores, el IETF no define las funciones ni la operación de esa capa de acceso a la red del modelo.

Las organizaciones de ingeniería que definen estándares y protocolos abiertos que se aplican a la capa de enlace de datos incluyen:

  • Instituto de Ingenieros Eléctricos y Electrónicos (IEEE)
  • Unión Internacional de Telecomunicaciones (ITU)
  • Organización Internacional para la Estandarización (ISO)
  • Instituto Nacional Estadounidense de Estándares (ANSI)