
Buenas a todos, en el mundo de la seguridad informática hay dos submundos apartados que en algunas ocasiones no se acaban complementando (error) y es el de la seguridad lógica y la seguridad física. Como siempre he dicho, en nuestro mundo no todo es realizar test de penetración y es muy importante tomar medidas de prevención y continuidad del negocio, realizando backups por ejemplo mediante replicación sombra o espejo para poder recuperarse tras un ataque o un suceso imprevisto como un incendio o una inundación, tomar medidas como Firecall ID para proteger las contraseñas maestras de la red, o sistemas de autenticación de dos factores para evitar intrusos por el CPD. No sirve de nada tener un sitio web impenetrable si puede llegar un usuario ajeno a la empresa como "Pedro por su casa" y acceder al servidor donde se encuentra alojado sin una serie de medidas de seguridad adecuadas.La norma certificable para este tema por excelencia es la
ISO/IEC 27001, parte de la serie de normas ISO 27000, y que cubre la pata de seguridad de la norma ISO 20000 sobre los SGSTI.El estándar ISO/IEC 27001 es el más importante de toda la serie 27000, especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). Un hecho que hay que tener en cuenta es que la norma por si sola no nos va a ayudar a implantar "seguridad" en una organización, simplemente define una serie de procesos que se deberán cumplir, por ejemplo, indicándonos que se deben realizar backups, o auditorías cada cierto tiempo. Por ello este modelo de procesos debe complementarse con alguna otra norma o metodología que nos indique como se deben realizar por ejemplo esos backups o auditorías, y para ello nació la ISO 27002 (o ISO/IEC 17799).La norma ISO 27002 ofrece distintas recomendaciones sobre mejores prácticas en la gestión de la seguridad de la información. Está dirigida a los encargados de iniciar, implantar o mantener un SGSI. Aún así, esta norma no llega a un punto de vista técnico, dejando gran parte de las ideas sobre como se deben implementar los procesos de la norma ISO 27001 a los administradores, cosa obvia por otra parte ya que en cada organización se debería implantar de una manera diferente. Por ello, para implantar la norma debemos recurrir a las metodologías, donde ya sí, de manera técnica se definen como se deben realizar por ejemplo esas auditorías. Las metodologías que más me gustan son la
OWASP y la
OSSTMM. Hay muchas otras, para gustos los colores, pero estas son muy completas.Si os interesa el tema de la 27001 os dejo un enlace muy bueno que me pasó
Dejan Kosutic hace un tiempo vía Twitter:
http://blog.iso27001standard.com/es/. Sobre todo me quedo con
éste post de su blog.La norma ISO 27001 es de pago y "
difícil de conseguir" =).Si os gusta el tema, en próximos posts destriparé la serie ISO 27000, y os contaré algunas de mis experiencias implantándola en una organización.Saludos!