SEGURIDAD GUA DE AUTOEVALUACIN DE LOS SISTEMAS DE TECNOLOGA DE LA INFORMACIN Marianne Swanson, Autor Elizabeth B.

Lennon, Editor Laboratorio de Tecnologa de la Informacin Instituto Nacional de Estndares y Tecnologa Introduccin Seguridad adecuada de la informacin y los sistemas que la procesan es una responsabilidad fundamental en la gestin. Las agencias federales deben planear la seguridad, asegrese de que los funcionarios competentes se les asigna la responsabilidad de seguridad, y autorizar el sistema de procesamiento antes de las operaciones y despus peridicamente. Estas responsabilidades de gestin de suponer que los funcionarios responsables de agencia a entender los riesgos y otros factores que podran afectar negativamente a sus objetivos de la misin. Adems, estos funcionarios deben entender la situacin actual de los programas de seguridad y los controles con el fin de tomar decisiones informadas y las inversiones que apropiadamente mitigar los riesgos a un nivel aceptable. Uno de los mtodos utilizados para medir la tecnologa de la informacin (TI) la garanta de la seguridad es una auto-evaluacin llevada a cabo en un sistema (de las principales aplicaciones o el sistema de apoyo general) o mltiples de auto-evaluaciones llevadas a cabo por un grupo de sistemas interconectados (interno o externo a la agencia). Autoevaluaciones constituyen una tcnica rentable para los funcionarios del organismo para determinar el estado actual de sus programas de seguridad de la informacin, mitigar las debilidades identificadas, y en caso necesario, establecer un objetivo de mejora. Orientacin sobre el proceso de autoevaluacin DIT ha publicado un nuevo documento de orientacin sobre el proceso de autoevaluacin. NIST Special Publication (SP) 800-26, Seguridad Gua de Autoevaluacin para los sistemas de tecnologa de la informacin, utiliza un extenso cuestionario que contiene los objetivos especficos y tcnicas de control contra el cual puede ser un sistema sin clasificar o grupo de sistemas interconectados probado y medido. Este boletn resume liras italianas en el nuevo documento, disponible en dos formatos de http://csrc.nist.gov/publications/nistpubs/index.html . Si bien este documento de orientacin se aplica principalmente a las agencias federales, organizaciones del sector privado tambin puede encontrar el enfoque de auto-evaluacin de una herramienta valiosa. La gua no establece nuevos requisitos de seguridad. Los objetivos de control y las tcnicas se extraen directamente de larga data requisitos que se detallan en los estatutos, las polticas y directrices en materia de seguridad. El documento se basa en el Marco de Seguridad Federal de TI Evaluacin (Marco), desarrollado por el NIST para el Oficial Federal de Informacin (CIO) del Consejo. El marco establece las bases para la normalizacin de los cinco niveles de estado de seguridad y agencias de criterios podra

usar para determinar si los cinco niveles se aplican adecuadamente. El nuevo documento ofrece orientacin sobre la aplicacin del Marco mediante la identificacin de 17 zonas de control, como las relativas a la identificacin y autenticacin y planes de contingencia. Adems, la gua proporciona los objetivos de control y tcnicas que pueden ser medidos para cada rea. Finalmente, el documento proporciona una gua sobre la utilizacin de los resultados del sistema de auto-evaluacin para conocer el estado de la agencia en todo el programa de seguridad. Los resultados se obtienen en una forma que fcilmente se puede utilizar para determinar cul de los cinco niveles especificados en el Marco de la agencia ha logrado para cada tema cubierto en el cuestionario. Por ejemplo, el grupo de sistemas bajo revisin puede haber alcanzado el nivel 4 (probado y evaluado los procedimientos y controles) en el rea temtica de la proteccin fsica y ambiental, pero slo el nivel 3 (La implementacin de procedimientos y controles) en el rea de controles de acceso lgico. Audiencia Los objetivos de control y tcnicas que se presentan son de carcter genrico y se puede aplicar a las organizaciones de los sectores pblico y privado. El documento puede ser utilizado por todos los niveles de gestin y por las personas responsables de la seguridad informtica a nivel de sistema y nivel de organizacin. Adems, los auditores internos y externos pueden utilizar el cuestionario para guiar su revisin de la seguridad informtica de sistemas. Para llevar a cabo el examen y las pruebas necesarias para completar el cuestionario, el catador debe conocer y ser capaces de aplicar un conjunto de conocimientos bsicos de los fundamentos de la seguridad informtica necesaria para proteger la informacin y sistemas. En algunos casos, especialmente en el rea de control y prueba de los controles tcnicos, asesores con conocimientos tcnicos especializados sern necesarios para asegurar que las respuestas del cuestionario son fiables. Usos del Cuestionario de Autoevaluacin El cuestionario puede ser utilizado para los siguientes propsitos:

Directivos de la agencia que conoce los sistemas de su organismo y los controles de seguridad pueden rpidamente obtener una comprensin general de las mejoras de seguridad necesarias para un sistema (de las principales aplicaciones o el sistema de apoyo general), el grupo de sistemas interconectados, o toda la agencia. La seguridad del sistema de una agencia puede ser evaluado a fondo utilizando el cuestionario como gua. Los resultados de una revisin exhaustiva producir una medida fiable de la eficacia de la seguridad y pueden ser utilizados para cumplir con los requisitos de informacin, prepararse para las auditoras, e identificar los recursos. Los resultados del cuestionario ayudar, pero no cumplen, las solicitudes de presupuesto de la agencia como se indica en la Oficina de Gerencia y Presupuesto (OMB) Circular A-11, "la preparacin y presentacin de presupuesto."

Es importante tener en cuenta que el cuestionario no pretende ser una lista exhaustiva de objetivos de control y tcnicas relacionadas. En consecuencia, se debe utilizar en conjuncin con las orientaciones ms detalladas en el Apndice B del documento. Adems, los detalles relacionados con ciertos controles tcnicos no se contemplan especficamente debido a su naturaleza voluminosa y dinmico. Directivos de la agencia debe obtener informacin sobre los controles como de otras fuentes, tales como vendedores, y utilizar esa informacin para complementar esta gua. ------------------------------Para una auto-evaluacin para ser eficaz, la evaluacin del riesgo debe llevarse a cabo en conjunto o con anterioridad a la auto-evaluacin. ------------------------------Sistema de Anlisis Antes de que el cuestionario puede ser utilizado con eficacia, la determinacin debe ser hecha en cuanto a los lmites del sistema y de la sensibilidad y criticidad de la informacin almacenada en el interior, procesado por, o transmitida por el sistema (s). La seguridad de cada sistema o grupo de sistemas interconectados (s) deben ser descritos en un plan de seguridad. Si un plan no se ha preparado para el sistema, la realizacin de la autoevaluacin ayudar en el desarrollo del plan de seguridad del sistema. Muchos de los objetivos de control considerados en la evaluacin se describe en el plan de seguridad del sistema. Definir el alcance de la evaluacin requiere un anlisis de los lmites del sistema y las responsabilidades de la organizacin. Tal como se define por el NIST SP 800-18, Gua para la elaboracin de planes de seguridad para sistemas de Tecnologas de la Informacin, un sistema se identifica mediante la definicin de lmites en torno a un conjunto de procesos, comunicaciones, almacenamiento y recursos relacionados. Cada elemento del sistema debe estar bajo el control directo de gestin misma, tienen la misma funcin o objetivo de la misin, tienen esencialmente las mismas caractersticas de funcionamiento y las necesidades de seguridad, y residir en el entorno operativo en general lo mismo. Ver http://csrc.nist.gov/publications/nistpubs/index.html para obtener orientacin adicional del NIST SP 800-18. El uso eficaz de la encuesta supone un conocimiento global del valor de los sistemas y la informacin que se est evaluando. El valor puede ser expresado en trminos del grado de sensibilidad o criticidad de los sistemas y la informacin relativa a las tres categoras bsicas de proteccin de la confidencialidad, integridad y disponibilidad. Adems, es til para categorizar el sistema o grupo de sistemas de nivel de sensibilidad, es decir, alta, media o baja. Cuestionario de Estructura

El cuestionario de autoevaluacin consta de tres secciones: portada, preguntas, y las notas. El cuestionario comienza con una hoja de cubierta que requieren informacin descriptiva sobre la aplicacin principal, sistema de apoyo general, o grupo de sistemas interconectados que se est evaluando. El cuestionario ofrece un enfoque jerrquico para la evaluacin de un sistema por el que contengan elementos crticos y preguntas subordinadas. Los evaluadores debern revisar cuidadosamente los niveles de objetivos de control subordinado y tcnicas con el fin de determinar qu nivel se ha alcanzado para el elemento fundamental relacionado. La seccin de cuestionario puede ser personalizado por la organizacin. Una organizacin puede aadir preguntas, necesita informacin ms descriptiva, e incluso antes de marcar ciertas preguntas, si procede. La seccin de notas se puede utilizar para documentar los hallazgos y para indicar las acciones de seguimiento. El tiempo requerido para completar una evaluacin variar, al igual que el los recursos necesarios. Conclusin De acuerdo con la poltica de la OMB, cada organismo deber establecer y mantener un programa para asegurar adecuadamente la informacin y los activos del sistema. Un programa de la agencia debe: 1) asegurar que los sistemas y las aplicaciones funcionan de manera efectiva y proporcionar la debida confidencialidad, integridad y disponibilidad, y 2) proteger la informacin acorde con el nivel de riesgo y la magnitud de los daos resultantes de la prdida, mal uso, acceso no autorizado, o la modificacin . Realizacin de una autoevaluacin y mitigacin de cualquiera de las deficiencias detectadas en la evaluacin es una manera de determinar si el sistema y la informacin estn debidamente asegurados. Renuncia Cualquier mencin de productos comerciales o referencia a las organizaciones comerciales es slo a ttulo informativo, no implica recomendacin ni aprobacin por el NIST ni tampoco implica que los productos mencionados son necesariamente los mejores disponibles para ese propsito.