Las nuevas versiones de la norma ISO / IEC 27001 y 27002 pasan a ser Borradores Finales

Cuando se cumplen ahora 20 años del origen de la norma ISO 27001 (antes BS 7799), la nueva versión de 2013 ha llegado al estado de borrador final.

¿Qué quiere decir esto?
El estado de borrador final (FDIS, Final Draft International Standard) implica que las nuevas versiones de la norma ISO / IEC 27001 y 27002 serán publicadas a finales de este año como estándar internacional. La versión actual se completó a principios de septiembre, y después de las modificaciones realizadas, está listo para su lanzamiento el próximo mes de octubre. El período de revisión al que estaban expuestos los borradores de las normas internacionales finalizó el pasado 23 de marzo de 2013. Los comentarios fueron analizados y los capítulos nacionales votaron a favor del avance de las nuevas normas para su publicación.

¿Qué ha cambiado en la 27001?
El cambio más llamativo en esta nueva versión es la disposición de la misma. Ya no hay requisitos duplicados y el texto es menos prescriptivo, dando más libertad a las empresas en el momento de aplicar los requisitos para adaptarse a los mismos. La siguiente figura muestra la relación entre la versión de la norma del 2005 y el actual FDIS.

Actualización de la norma ISO/IEC 27001


¿Cuáles son los principales beneficios de la nueva edición?
La norma se ha actualizado teniendo en cuenta las experiencias de los usuarios que han implementado o se han certificado empleando la ISO 27001:2005, con la intención de proporcionar un enfoque racionalizado y más flexible que debería conducir a una gestión eficaz del riesgo.
También se han realizado una serie de mejoras en los controles de seguridad para asegurar que la norma sigue siendo actual y es capaz de hacer frente a los riesgos de hoy, como el robo de identidad, los riesgos relacionados con los dispositivos móviles y otras vulnerabilidades on-line.

Por último, se ha modificado la nueva norma ISO 27001:2013 para que se adapte a la nueva estructura de alto nivel utilizada en todas las normas de sistemas de gestión, por lo que su integración con otros sistemas de gestión es más sencilla y de esta forma se ayuda a las organizaciones que deseen implementar más de un sistema de gestión a la vez. La similitud en la estructura entre las normas ahorrará a las organizaciones tiempo y dinero, ya que pueden adoptar políticas e integrar procedimientos. Por ejemplo, una organización puede querer integrar su sistema de gestión de seguridad de la información (ISO/IEC 27001:2013) con otros sistemas de gestión, tales como la gestión de continuidad del negocio (ISO 22301), la gestión de servicios TI (ISO/IEC 20000) o la gestión de la calidad (ISO 9001).

¿Qué ha cambiado en la 27002?
En la actualidad existen sólo 114 controles en contraposición con los 133 de la versión original. Además, los controles se enumeran en catorce capítulos en lugar de los once originales. Muchos controles no han cambiado desde la versión de 2005, aunque el texto sí se ha actualizado. Algunos controles se han eliminado ya que no se siguen considerando válidos. Otros se han fusionado, ya que representaban lo mismo explicado de diferentes maneras. También se han añadido once controles nuevos, a saber:
- A.6.1.5 Information Security in Project management
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 Secure system engineering priciples
- A.14.2.6 Secure development enviroment
- A.14.2.8 System security testing
- A.15.1.1 Information and comunication technology supply chain
- A.16.1.4 Assessment of and decisión on information security events
- A.16.1.5 Response to information security incidents
- A.17.2.1 Availability of information processing facilities

Seguidamente también se muestra la nueva disposición de los catorce dominios de control que han quedado en la norma de 2013 sin contar con los introductorios:
- 5 Security Policies
- 6 Organization of information security
- 7 Human resource security
- 8 Asset management
- 9 Access control
- 10 Cryptography
- 11 Physical and environmental security
- 12 Operations security
- 13 Communications security
- 14 System acquisition, development and maintenance
- 15 Supplier relationships
- 16 Information security incident management
- 17 Information security aspects of business continuity
- 18 Compliance

Como se puede observar ahora la criptografía tiene su propio apartado (10) e igualmente las relaciones con los proveedores (15). Communications and operations management se ha dividido en dos dominios (12 y 13). El dominio sobre la gestión y el tratamiento del riesgo se ha eliminado.

Estoy certificado con la norma ISO 27001:2005 ¿qué significará esta revisión para mí?
Las organizaciones certificadas con la edición de 2005 de la norma tendrán que actualizar su sistema de gestión de seguridad de la información para cumplir con los requisitos de la nueva versión de la norma. El período de transición para la actualización aún no se ha decidido, pero es probable que sea de dos años desde que se publique la nueva edición.

¿Cuánto esfuerzo se necesita para pasar de la versión antigua a la nueva versión?
La actualización a la nueva edición de la norma ISO 27001:2013 no debería resultar especialmente problemática. El período de transición ayuda, ya que el esfuerzo requerido puede ser parte del programa de trabajo organizado e integrado en las actividades de mejora continua y auditorías de seguimiento planificadas.

Referencias

http://www.bsigroup.es

Recordatorio de fechas del ciclo de vida para PA-DSS

Con motivo de la próxima publicación de las versiones PCI DSS 3.0 y PA-DSS 3.0 del PCI SSC, el consejo ha decidido realizar una comunicación formal con las fechas de vigencia de PCI PA-DSS tanto de la nueva versión y como de la actual. Es importante tener en cuenta este recordatorio de las fechas del ciclo de vida de las normas ya que, como se documenta en la guía del programa PA-DSS 2.0, todas las validaciones 1.x PA-DSS expiran el 28 de octubre de 2013, y los cambios menores sólo se podrán presentar y ser aceptados hasta esa fecha.

Las fechas clave tras la publicación del nuevo estándar 3.0 y su cohabitación durante un cierto período de tiempo con la versión 2.0 son las siguientes:
  • ¿Hasta cuándo se puede auditar empleando v2.0? 31 de diciembre de 2014
  • ¿Hasta cuándo será válida una certificación v2.0? 28 de octubre de 2016
  • ¿Desde cuándo se puede auditar empleando v3.0? 1 de enero de 2014
  • ¿Hasta cuándo será válida una certificación v3.0? 28 de octubre de 2019 (*)
(*) Aplicable para el caso de una app que no sufriera ningún cambio desde el momento de certificación. Sólo requeriría el pago administrativo anual de renovación para mantenerse en las listas. Este fee aplicará a todas las apps.

IMPORTANTE: Estas fechas SÓLO aplican a PCI PA-DSS.

OWASP EU Tour 2013 Barcelona

La organización OWASP (Open Web Application Security Project) está presentando durante el año 2013 una serie de conferencias a lo largo de toda Europa, siendo Barcelona una de las ciudades elegidas. La conferencia OWASP EU Tour 2013 Barcelona se celebró en el mes de junio y reunió a cerca de 130 asistentes presentándose un total de cinco exposiciones de diferente temática. El evento comenzó con una bienvenida por parte de Josep María Ribes (Director de Ingeniería del campus de La Salle en Barcelona) y con una introducción por parte de Vicente Aguilera Díaz (líder de OWASP Spain Chapter).

La primera ponencia vino a cargo de Selva María Orejón Lozano y expuso casos controvertidos en los que había participado a lo largo de su carrera profesional, comentando detalles de cómo se inició cada caso, los pasos intermedios, y hasta cómo se terminó solucionando. La temática se centró en las redes sociales y cómo éstas pueden llegar a afectar de forma negativa tanto a una empresa como a un individuo, así como qué herramientas existen para gestionar esa imagen dañada.

La siguiente conferencia trató sobre cómo PCI DSS afecta a los desarrolladores de software y la impartió Fabio Cerullo. El estándar PCI DSS se conoce como una norma a cumplir en la mayoría de los casos sobre un entorno ya existente en producción. Fabio Cerullo en su exposición orientó a los desarrolladores para que vieran qué puntos deben tener en cuenta al desarrollar código, de tal forma que no se encuentren incumplimientos en las aplicaciones a la hora de pasar este tipo de auditoría.
A la mitad de la conferencia apareció Chema Alonso para hablar sobre por qué los malos siempre ganan. La presentación comenzó con casos reales de cibercrimen para demostrar su teoría, entre los que se encontraban tanto Operación Aurora como Flame entre otros. A continuación presentó una serie de posibles problemas que permiten dar lugar a estas situaciones, como, por ejemplo, que la configuración de seguridad está generalmente enfocada a usuarios con un elevado conocimiento técnico, que se realizan malas prácticas en el uso de los metadatos por parte de las empresas y, finalmente, la existencia y mal gestión de los zero days entre otros. La exposición finalizó con dos ideas interesantes, por un lado el pentesting by design en la que los sistemas se deben diseñar teniendo en cuenta una cierta carga que se va a destinar a soportar ataques y revisiones de seguridad legítimas, y por otro lado el pentesting continuo en la que los sistemas se van auditar de forma continua, pasando una batería de pruebas en la que para cada iteración probablemente habrá cambios, ya sea por la adición de alguna prueba de seguridad nueva, o porque los sistemas habrán sufrido alguna modificación.

Por fin llegó el turno de la presentación de nuestro compañero Albert López con el interesante tema de Exploiting Linux Heap. A pesar de ser la presentación más técnica del día, se realizó de una manera compresible para todo el público asistente no dando por sentado cierto tipo de conocimientos. No sólo se presentó la teoría de exploiting de glibc, sino que se explicó su evolución temporal (los descubrimientos, soluciones iniciales y contramedidas encontradas a dichas soluciones) y se demostraron las vulnerabilidades con dos ejemplos en tiempo real en la misma exposición.
Para finalizar, Marc Rivero y Dani Creus hablaron sobre la evolución del fraude en Internet. Se trataron temas diversos desde las brechas de seguridad que provocan el afán de conocimiento hasta los ataques a gran escala que roban datos de usuario de forma masiva. Explicaron el fraude de los troyanos bancarios así como la historia del fraude en seguridad física de cajeros, incluyendo skimmers, el lazo libanés y el caso Roman Vega entre otros contenidos. Ambos demostraron el buen trabajo de campo que habían realizado, profundizando sobre los foros en los que se acostumbran a vender este tipo de servicios ilícitos, así como un poco de historia sobre la compra venta de datos bancarios y varias anécdotas policiales. Una charla muy variada, para todos los públicos, expertos o no.


Material

Bienvenida
Introducción a la jornada
Seguridad en Redes Sociales
PCI DSS para desarrolladores
Why cyberspies always win
Low Level Miseries when Exploiting Linux Heap
Mesa redonda 


Autor: Giovanni López - CEH
Departamento de Auditoría

Participamos en los grupos de trabajo del Centro de Ciberseguridad Industrial

Internet Security Auditors participa en los grupos de trabajo del Centro de Ciberseguridad Industrial (CCI). La primera sesión se inició el pasado miércoles 11 de septiembre.

Los grupos de trabajo en los que se trabajará inicialmente son ingeniería (EPC), infraestructuras críticas industriales y smart metering. Internet Security Auditors participará en todos los grupos de trabajo, apoyando la iniciativa del CCI y aportando la experiencia en ciberseguridad de sus integrantes.

El CCI aspira a convertirse en un punto de encuentro independiente para los organismos (públicos y privados) y profesionales relacionados con las prácticas y tecnologías de la ciberseguridad Industrial, así como en la referencia hispanohablante para el intercambio de conocimiento, experiencias y la dinamización de los sectores involucrados en este ámbito.


Autor: Marc Segarra - CISM, CISA, CISSP, PCI QSA, PCI PA QSA, ISO27001 Lead Auditor
Departamento de Consultoría

Nuevo artículo descargable de la revista SiC: OWASP Top 10 2013: actualización de los riesgos más extendidos asociados a las aplicaciones web

Nuevo artículo publicado en nuestra sección de prensa: “OWASP Top 10 2013: actualización de los riesgos más extendidos asociados a las aplicaciones web”.

La revista SIC publica, en su número 106 (septiembre 2013), este artículo elaborado por nuestro socio y Director del Departamento de Auditoría Vicente Aguilera.

En este artículo, Vicente comenta la reciente actualización de uno de los proyectos más emblemáticos de OWASP. Con una mentalidad de divulgación y con el claro objetivo de educar, tanto a las organizaciones como a todas aquellas personas que, de una u otra manera, están implicadas en el ciclo de vida de las aplicaciones, el Top 10 enumera y describe los diez riesgos más críticos y extendidos que sufren las aplicaciones web en la actualidad. Respecto a su anterior versión, la de 2010, cabe destacar la incorporación de una nueva categoría para considerar el riesgo asociado al uso de componentes vulnerables conocidos.

Asimismo, Vicente valora el impacto que hoy está causando el traslado de las aplicaciones corporativas a la nube y los riesgos que se derivan, tanto por la pérdida de control de nuestra información como los debidos a deficiencias en la configuración o ejecución del servicio en la nube.
Puedes encontrar el artículo en nuestra sección de prensa

I Congreso Brand Care en España: Defiéndete y protege tu marca

El pasado mes de julio se celebró en La Salle Campus Barcelona el primer Congreso de España sobre Reputación, Seguridad y Legalidad (Brand Care).

El Congreso nace de la necesidad de mejorar la protección y el cuidado de las marcas tanto personales como comerciales en el ámbito de la reputación online, la seguridad, y la legislación digital, y su objetivo: aprender a proteger, cuidar y defender la marca.

El Congreso se dividió en tres partes: reputación, legalidad y Seguridad, un triángulo inseparable que conforma la nueva realidad latente en Internet.

Estos tres pilares que conformaron el evento fueron abordados por los principales expertos españoles, entre los que destacaron: el abogado Xavier Ribas, Carlos Fernández Guerra que es Community Manager de la Policía Nacional, y Vicente Aguilera que es Socio-Fundador y Director de Auditoría de Internet Security Auditors, entre otros participantes.

REPUTACIÓN
La primera parte de las charlas trataba sobre la reputación online, tanto de personas como de marcas. Donde nos quedó claro que la reputación no es algo que podamos gestionar, sino que es la percepción que tenemos de las personas y marcas lo que hemos de trabajar. También se trataron temas tan interesantes como el desposicionamiento de contenidos negativos o las técnicas de SEO negativo utilizadas por algunas personas y empresas para hacernos perder posiciones en los buscadores.

LEGALIDAD
En este segundo bloque del evento se confirmó algo que ya sabíamos: la tecnología avanza mucho más rápido que las leyes. También se trató un tema de creciente actualidad que es el derecho al olvido, del que de momento debemos relegar ya que choca de frente con otros derechos fundamentales como, por ejemplo, el derecho a la información.

SEGURIDAD
En el último bloque se presentó eGarante, un sistema para certificar por un tercero tanto correos como páginas webs o documentos de forma que pueden ser presentados como pruebas en un procedimiento legal.

Marc Rivero nos hizo un repaso a los delitos más comunes en las redes sociales, uno de los vectores de ataque preferidos por los ciberdelincuentes.

Ya en la recta final se habló del malware en dispositivos móviles, y por otro lado, se presentó una iniciativa que puede resultar muy útil para formar a futuros expertos en seguridad informática: Lostproject, un proyecto impulsado por profesores y alumnos de la Universidad Ramon Llull que persigue la formación de profesionales en hacking ético.

Para concluir el acto se organizó una mesa redonda moderada por Selva Orejón y Rosalía de la Cruz donde participaron los diversos ponentes y se expusieron casos actuales.



MATERIAL
Reputación
Legalidad
Seguridad

Autor: Lidia Buendia
Departamento de Marketing