ISO 27799:2008

Recientemente se ha publicado la ISO 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002. Esta Norma Internacional, como puede deducirse por su título, proporciona una guía para la gestión de la seguridad en el sector sanitario utilizando la ISO 27002.

El sector sanitario tiene unas características particulares, que provocan que garantizar la confidencialidad, integridad y disponibilidad de la información sea especialmente relevante, dada la sensibilidad de la información que manejan. La ISO 27799 pretende aclarar estas particularidades partiendo, como base, de los controles de la ISO 27002.

Aunque todos los objetivos de control descritos en la ISO 27002 son relevantes para el sector sanitario, algunos requieren de explicaciones complementarias, y, además, deben establecerse requisitos adicionales, específicos para el sector sanitario.

Por lo tanto, la ISO 27799 no pretende sustituir a la ISO 27002, si no ser un complemento a ella, estableciendo en algunos casos la obligatoriedad de aplicar ciertos controles, por ejemplo:

Organizations processing health information, including personal health information, shall have a griten information security policy that is approved by management, published, and then communicated to all employees and relevant external parties.

De todas formas, la ISO 27799 no establece que para que una empresa del sector sanitario (por ejemplo un hospital) certifique su SGSI utilizando la ISO 27001 deba seguir o ni tan siquiera tener conocimiento de esta Norma, aunque si lo considera deseable.

La Norma comienza describiendo las características particulares de la seguridad en el sector sanitario. A continuación describe un plan de acción para implantar los controles de la ISO 27002 a través de un SGSI. El punto principal de la Norma recorre los once objetivos de control de la ISO 27002 describiendo las implicaciones concretas para el sector sanitario. Concluye con tres anexos que describen las amenazas generales en el sector sanitario, las tareas y documentos relacionados a un SGSI, y los beneficios potenciales y características requeridas de las herramientas de apoyo.

La publicación de esta norma es una idea muy buena, y servirá, por un lado, para facilitar la implantación de los controles, y por otro, para hacer ver a la gente que la ISO 27002 no es algo cerrado de donde no se puede salir, y que a veces es necesario implantar otros controles adicionales. De hecho, esta previsto publicar otras normas específicas para diferentes sectores, actualmente se encuentra en proceso de desarrollo la ISO/IEC FDIS 27011 Information technology -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 para el sector de las telecomunicaciones.

ha.ckers Blog [Imprescindibles]

Nombre: ha.ckers
URL:http://ha.ckers.org/
Autor: Robert Hansen (aka rsnake)
Categoría: Seguridad en aplicaciones web
Descripción: La mayoría de lo que publica es sobre seguridad en aplicaciones web, y concretamente sobre Cross Site Scripting. Blogs sobre seguridad en aplicaciones web hay muchos, algunos muy buenos (habrá tiempo de poner otros), por lo que resulta complicado seleccionar uno, he empezado por este, por lo útil que me resultó en su día la referencia de Cross Site Scripting que os enlazo más abajo. Añado a la descripción una imagen generada por http://wordle.net/ con las palabras más utilizadas en el blog.

Posts destacados:

• Code Execution Through Filenames in Uploads
• Steal Browser History Without JavaScript
• XSS (Cross Site Scripting) Cheat Sheet

Frecuencia: 1'4 posts a la semana

Seguridad en las nubes

Vamos a hablar de 'nubes', a pesar de que, a día de hoy, todavía hay mucha gente que no sabe lo que es el cloud computing, es evidente que ya es una realidad y que moverá mucho dinero.

Últimamente se habla mucho del cloud computing, y de que no es seguro o si, o incluso si es más seguro. Desde un punto de vista estricto de seguridad de la información, y siempre que se dispongan de los medios idóneos internamente, la decisión más lógica sería no externalizar nada, de esta forma se puede mantener un férreo control de la información. Pero no debemos olvidar que, a la hora de tomar decisiones estratégicas, la seguridad de la información simplemente será un factor más a tener en cuenta y, por ejemplo, externalizar siempre saldrá más barato, al menos a corto plazo. Así que, lo único que podemos hacer es aportar nuestros argumentos a favor y en contra de las diferentes posibilidades, tratando de minimizar los riesgos de la opción elegida. ¿Cómo podemos conseguirlo?

El factor clave cuando dejamos la información de nuestra empresa en manos de terceros es la confianza y el objetivo es que la seguridad de la información no disminuya, ya que, la responsabilidad seguirá siendo nuestra. Para poder confiar en nuestro proveedor de cloud computing prestaremos especial atención a lo siguiente:

• Localización de la información. Este aspecto es crucial desde un punto de vista legislativo, ya que la legislación es diferente en cada país.
  
• Control de accesos. ¿Cuál es la política de control de accesos? ¿Quién va a poder acceder a la información de nuestra empresa? Existen proveedores que ofrecen la posibilidad de integrar la autenticación con nuestro SSO, pero no debemos conformarnos con esto, ya que, empezando por el acceso físico a sus edificios, existirán demasiados casos que no podremos controlar.
• Monitorización. Habrá que saber qué se monitoriza y, sobre todo, debemos asegurarnos que podremos tener acceso a los logs que consideremos necesarios.
• Segregación de la información. Es importante saber cómo el proveedor garantiza que otros clientes no puedan tener acceso a la información de nuestra empresa.
• Gestión del cambio. Por un lado, tendremos que ver cómo puede afectarnos un cambio que vaya a realizar el proveedor, de tal forma que queden establecidas las condiciones para avisarnos y para aceptar que procedan a ejecutarlo, mientras que por otro, el proveedor debe proporcionar los mecanismos para que nuestra empresa pueda solicitar cambios.
  
• Gestión de incidencias. Cómo abordará el proveedor las incidencias, y concretamente, las incidencias de seguridad, es algo que tenemos que tener claro. Principalmente, tenemos que asegurarnos, para poder tomar las decisiones oportunas, de que se nos avisará e informará adecuadamente de todo incidente de seguridad que se produzca.
  
• Gestión de la continuidad. El proveedor debe asegurarnos la disponibilidad de la información, qué medidas ha implantado para garantizarlo y, en caso de desastre, cuánto tiempo llevará la recuperación. De todas maneras, nosotros también podemos buscar configuraciones en alta disponibilidad a través de varios proveedores.
  

Así que deberemos, como mínimo, obtener del proveedor la siguiente documentación:

• Política de seguridad de la información
• Controles de seguridad implantados
  
• Procedimiento de gestión del cambio
• Procedimiento de gestión de incidencias
• Plan de continuidad
  

Todas las medidas que solicitemos deben ser convenientemente recogidas en el contrato con el proveedor, dejando claramente establecidos los acuerdos de confidencialidad y los niveles de servicio que se esperan.

Con toda esta información podremos decidir si confiar en nuestro proveedor.

Como conclusión diremos que, aunque, las empresas del sector están muy interesadas en hacer creer que cada avance tecnológico necesita nuevas medidas de seguridad, que hay que reinventar la seguridad de la información una y otra vez, o que si no compramos el nuevo producto para el último hot topic del sector estaremos sirviéndoles en bandeja a los 'malos' nuestra empresa, en realidad, los conceptos de seguridad de la información que debemos aplicar, con cada avance tecnológico, suelen ser siempre los mismos, y están inventados desde hace años.
Por lo tanto, los aspectos a tener en cuenta en la seguridad del cloud computing son antiguos, lo que se ha tratado de ver en este post es cuáles de estos conceptos debemos tener en cuenta cuando nuestras empresas den el paso de subirse a las 'nubes', y esto es algo que todas harán tarde o temprano.

RiskAnalys.is Blog [Imprescindibles]

Nombre: RiskAnalys.is - A Weblog for Risk Geeks
URL: http://riskmanagementinsight.com/riskanalysis/
Autor: Alex Hutton y Jack A. Jones
Categoría: Análisis de Riesgos
Descripción: Como os podéis imaginar por el nombre, básicamente, se habla de riesgos, aunque también se tocan temas como métricas, normativas, cumplimiento, PCI... Así que, podríamos decir que hablan de GRC (Governance, Risk and Compliance), que conste que lo del término GRC, personalmente no me gusta.
Además, tienen un framework llamado Factor Analysis of Information Risk (FAIR) cuyo fin es el de entender, analizar y medir los riesgos de la información. Si os interesa el tema de los análisis de riesgos, creo que merece la pena echarle un vistazo.
Posts destacados: Pongo uno de cada autor.

• http://riskmanagementinsight.com/riskanalysis/?p=218
• http://riskmanagementinsight.com/riskanalysis/?p=351
  

Frecuencia: 2'1 posts a la semana

Dancho Danchev's Blog [Imprescindibles]

Nombre: Dancho Danchev's Blog - Mind Streams of Information Security Knowledge
URL: http://ddanchev.blogspot.com/
Autor: Dancho Danchev
Categoría: Malware
Descripción: En general, lo que publica son investigaciones que realiza el mismo sobre amenazas de seguridad emergentes, malware que ha empezado a distribuirse, tendencias o nuevas técnicas de ataques y optimización que están utilizando los malos, análisis sobre el negocio que hay montado encima de todo esto. Por ejemplo, el otro día alguien nos comentaba cuanto dinero costaba disponer de una botnet para lanzar ataques de DDoS, como las fuentes de esos datos me parecían un tanto dudosas acudí aquí para contrastarlas.
Posts destacados: Me resulta un poco complicado elegir alguno, porque en general son muy buenos, por poner un par de ejemplos recientes:

• http://ddanchev.blogspot.com/2008/06/zeus-crimeware-kit-vulnerable-to.html
• http://ddanchev.blogspot.com/2008/07/are-stolen-credit-card-details-getting.html
  

Frecuencia: 0'9 posts al día

Blogs Imprescindibles [Nueva sección]

Hace unos años, el problema de dedicarse a la seguridad lógica es que era muy difícil encontrar información al respecto, hoy en día, para bien o para mal, ocurre lo contrario, hay tanta información que resulta imposible seguirlo todo, y muchas veces no hay forma de separar la paja del grano, si buscas cualquier cosa, lo primero que hay que hacer es averiguar la fiabilidad de esa información.
Así que, quiero inaugurar una nueva sección dentro del blog, destinada a compartir aquellos blogs de seguridad que consideréis muy buenos, es decir, aquellos que todos deberíamos tener agregados en nuestro lector RSS favorito y que sepáis que el contenido es de fiar, vamos que no se ha puesto a escribir de algo el primero que pasaba por allí. También pueden valer páginas que no sean blogs, pero creo que las principales fuentes de información ahora mismo son blogs, al menos con los contenidos más interesantes.

Para que no se quede en mandar el link y decir esto es cojonudo, he pensado que las entradas deberían tener, al menos, los siguientes campos (como siempre se admiten sugerencias para añadir o quitar campos):

• Nombre del blog
• URL del blog
  
• Nombre del autor/es
• Categoría: Vendría a ser una palabra clave de los temas que mas trata el blog. Ejemplos: análisis forense, seguridad web, cumplimiento normativo, seguridad general...
• Descripción: Algo breve contando que tipo de temas se suelen tratar, que enfoque se da o bueno lo que consideréis oportuno.
• Posts destacados: Algún post que consideréis bueno y que pueda servir de ejemplo para que el resto de usuarios vean la calidad de las entradas que publican.
  
• Frecuencia de publicación: Número medio de posts que publica al día.
• Valoración: Valor de 0 a 5. Se supone que el que lo mande le dará un cinco, pero otros miembros pueden no estar de acuerdo, así que se irá actualizando con la media de las votaciones.

En principio, con esta información me parece suficiente, aunque se me ocurren otras cosas que se podrían poner, como por ejemplo: que porcentaje de miembros de s(i)logica ya lo conocían, de los que no lo conocían cuanta gente ha empezado a seguirlo a raíz de publicarse aquí, cual fue la fecha de su primera publicación...

La razón de utilizar el blog y no la lista de correo es porque creo que es más fácil de gestionar aquí, para poder enlazarlos, por el tema de las etiquetas, para las valoraciones...
Bueno espero que os animéis a mandar algunos y a valorar aquellos que vayamos publicando.

Empezando...

... y a ver donde llegamos.
La idea de este blog es publicar contenidos propios, artículos y reflexiones sobre seguridad de la información.

No soy muy partidario de poner muchas reglas, así que solo diré un par de cosas:

• En principio, aquí, no haremos simples referencias a noticias del mundillo, para eso ya tenemos el grupo, que creo que es mejor canal de comunicación para dicho fin. Aunque, evidentemente se admiten reflexiones personales sobre noticias.
• De momento mantendré el control de lo que se vaya publicando, si alguien quiere publicar algo que me lo diga y no creo que haya ningún problema.

No creo que haga falta decirlo, pero ya sabéis que se admiten sugerencias de cualquier tipo, principalmente, sobre temas que creáis interesantes tratar.