dilluns, 15 de març de 2010

Son segures les dades dels usuaris de SOM (ex STA)?


Resum de l´aplicació de la norma ISO 17799


“La direcció deu de definir clarament les politiques de seguretat.

Mostrar el seu compromís amb la publicació i la continuació de les politiques de seguretat.

El document expressant la politica de seguretat té que ser aprovat per la direcció i publicat i comunicat a tots els empleats.

Per assegurar la politica de seguretat la direcció té que assignar un responsable.

Cada canvi de lloc d´explotació té que comportar una revisió.

Cooperació entre organismes.-

El responsable (organisme) de les dades té que comunicar amb d´altres com: Autoritats competents, òrgans de regulació i proveïdors. Cada un d´ells pot aportar quelcom.

...l´auditor no pot ser jutge i part...

Seguretat d´accés de tercers a les dades.-

L´organisme té posar tota la seva atenció en controlar el RISC que comporta l´accés deTERCERSa l´informació.


“L´organisme té l´obligació d´identificar tots els TERCERS que poden accedir a les dades: Personal de manteniment, agents de seguretat, estudiants, personal eventual...” i altres serveis externs.


Exigències de seguretat en els contractes amb tercers.-

Els aspectes contractuals son indispensables i els responsables deuen de plasmar unes normes d´utilització de les dades destinades a tercers.

Clàusules que deun figurar en aquest tipus de contractes.-

...processos de protecció, regles per assegurar la restitució o destrucció de les dades, restriccions a la divulgació i reproducció de les informacions, responsabilitat de les diferents parts, lleis i/o reglaments aplicables si el contracte implica a EMPRESES EXTRANGERES..


Externalització i les seves exigències de seguretat.-

Objetiu: Mantenir la segueretat de l´informació quant “LA GESTIÓ ÉS CONFIADA A UNA ENPRESA EXTERNA”.

Controls FÍSICS I LÓGICS per limitar l´accés a les informacions sensibles als ÚNICS usuaris autoritzats.

Dret (I OBLIGACIÓ) de l´organisme de fer auditar per un tercer per verificar que la seguretat assegurada per el prestatari és correcte.

Clasificació de l´informació.-

La seva clasificació permet determinar el nivell d´importància (crític) i en consequència el modus de trcatament.

Exemples:

L´informació confidencial: Informació la quina difusió és estrictament limitada.

L´informació vital: Informació indispensable per assegurar el procés de l´organisme i quina indisponibilitat per suposar una pèrdua d´explotació.

L´informació costosa: Informació que en cas de ser alterda suposa un alt cost de restitució.

L´informació nominativa: Informació que es pot aplicar per imperatius de seguretat imposats per la llei.

Primerament la clasificació s´ha d´aplicar a les informacions i després als dispositius que asegurent la salvaguarda i tractament i als utilitsadors que ho manipulen.


Recursos humans.-

L´objetiu és reduir els riscos de´error humà, el robatori, el frau o l´us inadequat dels equipements.

Les responsabilitats relatives a la seguretat de l´informació es tenen que abordar al moment de contractar personal (o empreses) i inclore-les en els contractes i supervisar-les durant tota la durada del contracte.

La NORMA ISO 17799 recomana assegurar-se que les informacions facilitades per l´assalariat o empresa son verdaderes.

Els punts a verificar son: Les referències, el CV, els diplomes, etc.

La mesura s´aplica també als estagiaris, temporals i personal (empreses) EXTERN.

El contracte de treball deu tenir una clàusula de confidencialitat
Reacció devant els accidents o defectes de seguretat, el seu estudi i procediments disciplinaris :

L´objetiu és reduir el mal.

L´organisme te que posar en funcionament un plà de procediments per afavorir la senyalització d´incidents per tal de tenir-los en compte i facilitar-ne el seu estudi.

Tots els incidents es tenen, evidentment, que estudiar i fer-ne un raport. L´organisme té que posar a disposició tots els mecanismes que permetin controlar el tipus, volum i cost .

L´organisme deu de preveure mesures disciplinaries en cas de incompliment del contracte o ús indegut dels sistemes, etc.

Seguretat física.-

... controls d´accés, seguretat dels equipaments, seguretat de l´alimentació elèctrica, manteniment de material, etc.

Regles de control general.-


L´informació té que ser protegida contra la divulgació, modificació i robatori.

Messures a pendre en el LLOC DE TREBALL:

Els documents i suports informàtics es guardaran en armaris tancats amb clau

Els ordinadors, terminals i impressores tenen que desconnectar-se quant estan sense vigilància i dotats de sistemes bloqueig si no son utilitzats durant un cert temps.

Els punts físics d´entrada i sortida de correu tal com telex, fax, etc. Tenen que estar vigilats.

Les fotocopiadores també tenen que star protegides i prohibida la seva utilització fora de les hores de treball.

Gestió de l´explotació de les comunicacions i de les xarxes.-

Per l´explotació dels equips informàtics es necessari redactar una guia precisant:

El modus de tractament i manipulació de l´informació,

El comencement i final del treball,

Les instruccions per el tractament d´errors,

Llista de interlocutors que poden intervenir en cas de dificultats,

Les consignes de manipulació de les dades,

Les condicions de manteniment,

El procediment de salvaguarda de les dades,

Control de les modificacions als dispositius operacionals.-
Aquestes modificacions necessiten de:

Una identificació i un enregistrament,

Una evaluació del seu impacte,

L´aprovació per part dels responsables,

La comunicació dels detals de les modificacions a totes les prsones competentes,

L´identificació de les persones responsables de les validacions

Procediment per la gestió d´incidents.-

L´organisme té que redactar un document explicant la forma d´actuar en cas d´incidents.

Els incidents a trcatar: Errada del sistema, denegació de servei (no disponibilitat de les dades), la violació de confidencialitat.

El procediment té que cobrir els punts següents: Identificació i anàlisis de l´incident, correctius per aplicar per evitar-ne la repetició, protocol de comunicació amb les persones afectades o implicades en l´incident, redacció d´un raport explicant l´incident i les actions preses i comunicar-lo a l´autoritat competent.

Utilització de les dades diàries.-

Aquestes seran utilitzades per anàlisis dles problemes interns, com probes en incidents per una possible ruptura de contracte o per la justícia si necessari.

Procediments: L´accés als sistemes d´explotació i a les dades sera autoritzat SOLSAMENT al personal clarament autoritzat.


Totes les accions preses seran documentades i notificades a la direcció.

Després d´un incident, la integritat del sistema i de les dades té que ser confirmat.

Separació dels equips:


Per tal d´evitar els riscos d´una intervenció delictiva l´organisme vigilarà els punts següents:

La separació del software operacional i desenvolupador,

Fer inaccessible els compiladors, editors i altres utilitaris,

Utilitzar contrasenyes diferentes per cada un dels sistemes,

Prohibir als programadors l´accés als mots clau operacionals.


LA NORMA ISO 17799 PRECISA QUE L´ORGANISME TÉ QUE EVITAR LA GESTIÓ DE LES APLICACIONS SENSIBLES A EMPRESES EXTERNES

...
Protecció i controls contre el software mal intencionat:

L´organisme té que verificar la conformitat de les llicències dels programes i que CAP PROGRAMA NO AUTORITZAT ÉS UTILITZAT i PROTEGIR-SE CONTRA ELS RISCOS DESCÀRREGUES DE FIXERS I PROGRAMES.

...”


Aplicava l´ex STA aquesta norma l´any 2.005?.


Segons les auditories de l´Agència de Protecció de Dades Andorrana i de l´empresa T-SystemS NO.