2015

All posts from 2015

Riesgo, Amenaza y Vulnerabilidad (ISO 27001)

by Alfonso Lorenzo Pérez on 10/31/2015 No comments

 

Uno de los aspectos esenciales de un Sistema de Gestión de la Seguridad de la Información (SGSI) de acuerdo a los requisitos de ISO 27001:2005, es la evaluación de los riesgos a los que están sometidos los activos de la organización.

Para ello existen dos conceptos fundamentales: Amenaza y Vulnerabilidad, sobre los cuales me gustaría recordar lo siguiente:
• RIESGO: (Inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la probabilidad de un evento y sus consecuencias.
• AMENAZA: (Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.
• VULNERABILIDAD: (Inglés: Vulnerability). Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.

De la lectura de la definición de vulnerabilidad, así como la mención en la propia ISO 27001:2005, cuando habla de “identificar los riesgos” (4.2.1.d) y dice “identificar las vulnerabilidades bajo las que podrían actuar dichas amenazas”, se entiende que la vulnerabilidad nunca es la consecuencia de la amenaza, sino una situación existente que pudiera ser aprovechada (explotada) por una determinada amenaza.

 En muchos de los SGSI que he tenido la oportunidad de conocer, algunos incluso con varios años de existencia y evolución, he comprobado cómo se confunde vulnerabilidad con “consecuencia”, estableciendo la siguiente errónea analogía:

ANALOGIA_ERROR.PNG
En el siguiente gráfico explico con un ejemplo la relación entre Riesgo, Amenaza y Vulnerabilidad:

 

 RiesgoAmenazaVulnerabilidad.png

 Mi resumen:

• La vulnerabilidad nunca es la consecuencia.
• La vulnerabilidad es un factor o situación que debe existir para que la amenaza se manifieste.
• La vulnerabilidad es una “debilidad”.
• Las vulnerabilidades están ligadas a las características y condiciones de los sistemas de información, así como a su entorno.
• Las vulnerabilidades pueden ser cambiantes, incluso cuando las amenazas permanezcan estáticas.
read more
Alfonso Lorenzo PérezRiesgo, Amenaza y Vulnerabilidad (ISO 27001)

UNE 71505, Gestión de evidencias electrónicas (I)

by Alfonso Lorenzo Pérez on 10/23/2015 No comments

GEE

En un  mundo en el que cada día existe un mayor número de procesos de negocio soportados por sistemas informáticos, surge la necesidad de disponer de una metodología que permita disponer de información veraz sobre las actividades realizadas, así como del resultado de las mismas.

Ya no basta con prestar un servicio u obtener un resultado deseado, sino que debemos poner a disposición de aquéllos que lo demanden, información descriptiva de las actividades realizadas. Esta información debe disponer de una serie de atributos que la hagan fiable para el receptor de la misma.

Tradicionalmente hemos dispuesto de los llamados “logs de actividades”, los cuales nos proporcionaban, cada uno de una forma particular, determinada información sobre qué había sucedido en un determinado sistema de información. El punto débil de estos logs ha sido siempre el mismo: “demostrar que no han sido alterados”, es decir, que se garantiza su cadena de custodia. Esto hace que el valor del log quede limitado al valor que el receptor del mismo le quiera otorgar, existiendo siempre una cierta “duda razonable” sobre que dicho log sea un fiel reflejo del hecho que trata de describir o probar.

Con el fin de establecer un método para la gestión de este tipo de logs, que a partir de ahora denominaremos  “evidencias electrónicas”, nace la norma UNE 71505, cuyos principales objetivos son:

  • Definir y describir los conceptos de seguridad de la información relacionados con las evidencias electrónicas.
  • Identificar las relaciones entre el Sistema de Gestión de Evidencias Electrónicas (SGEE) y el Sistema de Gestión de la Seguridad de la Información (SGSI).
  • Especificar los controles de seguridad aplicables a la gestión de evidencias electrónicas.
  • Describir los formatos de intercambio de las evidencias electrónicas y los mecanismos técnicos aplicables, para el mantenimiento de su confiabilidad.

La confiabilidad de las evidencias electrónicas e fundamenta en el cumplimiento de la siguiente triple pareja de atributos:

  • Autenticación e integridad.
  • Disponibilidad y completitud.
  • Cumplimiento y gestión.

La norma UNE 71505 establece los requisitos para la gestión de las evidencias electrónicas a lo largo de todo su ciclo de vida, incluyendo, por lo tanto las actividades relacionadas con las siguientes fases de dicho ciclo de vida:

  • Generación
  • Almacenamiento
  • Transmisión
  • Recuperación (extracción y exportación)
  • Tratamiento (consolidación, agregación, correlación)
  • Comunicación de las evidencias electrónicas.
read more
Alfonso Lorenzo PérezUNE 71505, Gestión de evidencias electrónicas (I)

El Anexo SL, sustituto de la Guia ISO 83​​

by Alfonso Lorenzo Pérez on 09/15/2015 No comments

documentos

Aquéllos que se hayan enfrentado a alguna de las habituales normas que establecen los requisitos para los sistemas de gestión (calidad, medioambiente, seguridad de la información, continuidad de negocio, etc), habrán descubierto, y a menudo sufrido, el hecho de que la estructura de cada una de ellas es distinta, si bien, en algunos casos, a lo largo de los últimos años, se han producido algunos acercamientos entre algunas de estas normas.

Para solucionar este problema y, por lo tanto, favorecer la integración y convivencia de los requisitos procedentes de distintas normas, se ha creado el denominado Anexo SL, cuya finalidad es armonizar la estructura, terminología y definiciones usadas en las distintas normas de sistemas de gestión.

Para la creación del Anexo SL se han tenido en cuenta cuestiones como:

  • Contexto de la organización.
  • Gestión de riesgos y oportunidades.
  • Los recursos financieros de la empresa.
  • La capacidad de la empresa para hacer frente a los  cambios.
  • Mejorar la coherencia entre los requisitos, el producto/servicio y la entrega.
  • Buenas prácticas de gestión.​

​El Anexo SL define un marco común de requisitos para el desarrollo de las normas de sistema de gestión genéricos, debiendo ser éstos completados con los requisitos específicos que, en cada caso, sea necesario.

En el futuro, podremos esperar que todas las normas de sistemas de gestión posean un mismo formato y estructura, basado en el Anexo SL.

Estructura del Anexo SL:

  • ​Cláusula 1 – Ámbito de aplicación
  • Cláusula 2 – Referencias normativas
  • Cláusula 3 – Términos y definiciones
  • Cláusula 4 – Contexto de la organización
  • Cláusula 5 – Liderazgo
  • Cláusula 6 – Planificación
  • Cláusula 7 – Soporte
  • Cláusula 8 – Funcionamiento
  • Cláusula 9 – Evaluación del desempeño
  • Cláusula 10 – Mejora​

Actualmente ya se han publicado tres normas de sistemas de gestión, basadas en el Anexo SL:​

  • ISO 30301:2011, Información y documentación – Sistemas de gestión de documentos – Requisitos.
  • ISO 22301:2012, la seguridad societal – Los sistemas de gestión de continuidad de negocio – Requisitos.
  • ISO 20121:2012, sistemas de gestión de la sostenibilidad de eventos – Requisitos con orientación para su uso.

En los próximos meses, la nueva ISO 27001:2013, de la que hemos hablado en un post anterior, se sumará a esta lista de normas de sistemas de gestión elaboradas de acuerdo al Anexo SL.

A la mencionada ISO 27001:2013 le seguirán las nuevas versiones de ISO 9001 (se espera que vea la luz en el 2015), iso 14001, etc.

read more
Alfonso Lorenzo PérezEl Anexo SL, sustituto de la Guia ISO 83​​

ISO 50001 e ISO 14001

by Alfonso Lorenzo Pérez on 08/29/2015 No comments

 

Con la  llegada de la norma ISO 50001, como herramienta de gestión ambiental y la coexistencia de ésta con la ya tradicional ISO 14001, surge la necesidad de analizar e identificar los objetivos y requisitos de cada una de las dos normas.

ISO 14001 inicia su andadura en la década de los 90, actualizándose desde entonces en un par de ocasiones. Se trata de un marco de referencia que establece los requisitos que debe cumplir un sistema de gestión ambiental que pretenda gestionar los impactos ambientales asociados a las actividades desarrolladas por la organización, a través de la identificación y evaluación de los distintos aspectos ambientales, todo ello en un marco de mejora continua.
ISO 50001 supone uno de los últimos y más novedosos referenciales existentes en el campo de la gestión ambiental. ISO 50001 se centra y limita en la mejora continua del desempeño y eficiencia energética de una organización.  La adopción de un sistema de gestión energética (SGE) según ISO 50001 implicará la adopción de los procesos necesarios para comprender el consumo base de energía, la puesta en marcha de planes de acción encaminados a la reducción del consumo energético, así como identificar y priorizar las oportunidades de mejora de la eficiencia energética de la organización.
Por lo tanto, son varios los elementos comunes entre ISO 14001 e ISO 50001, pero al mismo tiempo, dentro del territorio común de la gestión ambiental, ambas normas persiguen objetivos distintos. Mientras que ISO 14001 es una herramienta para la gestión ambiental en un sentido muy amplio, ISO 50001 está centrada exclusivamente en la eficiencia energética, es decir, en un aspecto ambiental muy concreto y específico, dentro del amplio abanico de aspectos ambientales de una organización.
ISO 50001 puede ser adoptada de forma independiente por una organización, especialmente por aquellas en las que el consumo energético y la emisión de GEI asociados al mismo son un aspecto ambiental clave,  si bien su escenario más adecuado de aplicación es aquél en el que complementa a ISO 14001.
read more
Alfonso Lorenzo PérezISO 50001 e ISO 14001

Necesidad calculo huella de carbono

by Alfonso Lorenzo Pérez on 08/28/2015 No comments

El jueves 29 de mayo 2014 ha entrado en vigor el Real Decreto 163/2014, aprobado el pasado 14 de marzo, por el que se ha creado el nuevo «Registro nacional de huella de carbono, compensación y proyectos de absorción de dióxido de carbono», que nace con el objetivo de reducir el impacto medioambiental que producen las emisiones de gases en la capa de ozono.

Las empresas deberán registrarse en una de las tres secciones según se comprometan a la reducción de gases de efecto invernadero, al desarrollo de proyectos para la absorción de CO2 o a proyectos de compensación de la huella de carbono.

La primera sección está destinada a aquellas personas que voluntariamente y por medios propios calculen la huella de carbono de su empresa y se comprometan a realizar actuaciones para su reducción.

Deberán inscribirse en la sección B aquellas empresas y entidades que realicen proyectos relacionados con el uso de la tierra y la selvicultura, que supongan un aumento del carbono almacenado, como las reforestaciones.

Por último, se inscribirán en la última sección aquellas empresas que lleven a cabo proyectos de compensación de la huella de carbono de las empresas inscritas en la primera sección. Esta compensación se efectuará mediante la ejecución de los proyectos de absorción de la segunda sección o la ejecución de proyectos de terceras personas reconocidas por el Ministerio de Agricultura y Medio Ambiente.

Todas aquellas empresas inscritas en cualquier sección del registro recibirá un documento de reconocimiento de su inscripción y se les permitirá la utilización de un sello oficial del Ministerio, que reflejará la participación en aquellas.

Además, cabe recordar que las empresas que realicen el cálculo de su huella de carbono recibirán beneficios fiscales y que el sello oficial de Huella de Carbono constituirá un nuevo requisito para participar en concursos públicos.

Requisitos para las empresas:

  • Las organizaciones deberán disponer de un plan de reducción de la huella de carbono, que contemple acciones concretas con su posible plazo de ejecución, así como los ahorros y reducciones esperadas.
  • El empresario debe conocer su huella de carbono para poder inscribirla, si bien no es necesaria una metodología concreta para calcularla, esta debe ser reconocida a nivel internacional y cumplir con los requisitos de relevancia, integridad, consistencia, exactitud y transparencia.

Obligación de informar en Francia

  • Desde el pasado 1 de octubre, las empresas de transporte francesas tienen la obligación de informar a sus clientes de las emisiones de CO2 asociadas al transporte realizado.
  • Dicha obligación afecta a todos los transportes con origen o destino en Francia, tanto para los internacionales como para los de cabotaje, ya sea de mercancías o de viajeros.
  • Aunque la forma de realizar esta comunicación es libre, lo que si está estipulado es el plazo máximo para realizar la misma, que será de dos meses salvo que exista pacto contrario.
read more
Alfonso Lorenzo PérezNecesidad calculo huella de carbono