DIRECTRICES DE LA OCDE PARA LA SEGURIDAD DE SISTEMAS Y REDES DE INFORMACIÓN: HACIA UNA CULTURA DE...

8/14/2019 DIRECTRICES DE LA OCDE PARA LA SEGURIDAD DE SISTEMAS Y REDES DE INFORMACIN: HACIA UNA CULTURA DE SEGURIDAD

1/12

Organisation for EconomicCo-operation and Development

DIRECTRICES DE LA OCDE

PARA LA SEGURIDAD

DE SISTEMAS Y REDES DE INFORMACIN :

HACIA UNA CULTURA DE SEGURIDAD

1


2/12

2


3/12

ORGANIZACIN PARA LA COOPERACIN Y EL DESARROLLO ECONMICO

En virtud del artculo 1 del Convenio firmado el 14 de diciembre de 1960 en Pars, entrado en vigor el 30 deseptiembre de 1961, la Organizacin para la Cooperacin y el Desarrollo Econmico (OCDE) tiene por objetivopromover polticas dirigidas:

A conseguir la mayor expansin de la economa y el empleo y una progresin del nivel de vida en los pases

miembros, manteniendo la estabilidad financiera, y a contribuir as al desarrollo de la economa mundial.

A contribuir a una sana expansin econmica en los pases miembros, as como en los pases no miembros, envas de desarrollo econmico.

A contribuir a la expansin del comercio mundial sobre una base multilateral y no discriminatoria, conformecon las obligaciones internacionales.

Los pases miembros originales de la OCDE son Alemania, Austria, Blgica, Canad, Dinamarca, Espaa,Estados Unidos, Francia, Grecia, Irlanda, Islandia, Italia, Luxemburgo, Noruega, Pases Bajos, Portugal, ReinoUnido, Suecia, Suiza y Turqua. Los pases siguientes se han convertido posteriormente en miembros medianteadhesin en las fechas indicadas: Japn (28 de abril de 1964), Finlandia (28 de enero de 1969), Australia (7 de

junio de 1971), Nueva Zelanda (29 de mayo de 1973), Mxico (18 de mayo de 1994), Repblica Checa (12 dediciembre de 1995), Hungra (7 de mayo de 1996), Polonia (22 de noviembre de 1996), Corea (12 de diciembrede 1996) y Eslovaquia (14 de diciembre de 2000). La Comisin de las Comunidades Europeas participa en lostrabajos de la OCDE (artculo 13 del Convenio de la OCDE).

Traduccin en lengua espaola realizada de los textos en ingls y/o francs, versionesoficiales de esta publicacin, titulados:OECD Guideline for the Security of Information Systems and Networks: Towards a Culture ofSecurity s

ignes directrices de lOCDE rgissant la scurit des systmes et rseaux dinformation:Vers une culture de la scurit2002, OECDAll rights reservedPara la edicin en espaol:2004, Organisation for Economic Co-operation and Development (OECD), Pars. y Ministeriode Administraciones Pblicas, Secretara General Tcnica, EspaaPublicada con la autorizacin de la OCDE.NIPO: 326-04-035-2La OCDE no es responsable de la calidad de la traduccin en espaol y de su coherencia con eltexto original.

3


4/12

PRLOGO

Las presentesDirectrices de la OCDE para la Seguridad de Sistemas y Redes de Informacin: hacia una culturade Seguridadse adoptaron como Recomendacin del Consejo de la OCDE en su sesin 1037 de 25 de julio de2002).

4


5/12

NDICE

DIRECTRICES PARA LA SEGURIDAD DESISTEMAS Y REDES DE INFORMACIN:HACIA UNA CULTURA DE SEGURIDAD.......................................................... 5

PREFACIO.................................................................................................. 5HACIA UNA CULTURA DE SEGURIDAD............................................. 5PROPSITOS ............................................................................................. 6PRINCIPIOS................................................................................................ 6

RECOMENDACIN DEL CONSEJO.................................................................... 9

HISTORIA DEL PROCEDIMIENTO ..................................................................... 11

5


6/12

DIRECTRICES PARA LA SEGURIDAD DE SISTEMAS Y REDES DE INFORMACIN


PREFACIO

Desde que en 1992 la OCDE desarrollara por primera vez las Directrices de Seguridad de los Sistemas deInformacin, el uso de los sistemas y redes de informacin, as como el entorno tecnolgico de informacin, ensu totalidad, han sufrido grandes cambios. Estos cambios continuos ofrecen grandes ventajas, pero hacennecesario que los gobiernos, las empresas, y otras organizaciones y usuarios que desarrollan, poseen,proporcionan, administran estos servicios, y usan sistemas y redes de informacin (participantes) ponganmayor atencin en los aspectos relacionados con la seguridad.

El ambiente que predominaba en el pasado, en el que los sistemas operaban de manera aislada o en redes

privadas, ha sido sustituido por computadoras personales que cada vez tienen mayor capacidad de proceso, ascomo por tecnologas convergentes y por la propia difusin masiva del uso del Internet. Hoy en da losparticipantes se encuentran cada vez ms interconectados, y esta interconexin se extiende ms all de lasfronteras nacionales. Al mismo tiempo, Internet forma parte de la infraestructura operativa de sectoresestratgicos como energa, transportes y finanzas, y desempea un papel fundamental en la forma en que lascompaas realizan sus transacciones comerciales, los gobiernos proporcionan sus servicios a los ciudadanos y alas empresas, y los ciudadanos se comunican e intercambian informacin de manera individual. La naturaleza yel tipo de tecnologas que constituyen la infraestructura de la informacin y comunicaciones tambin hancambiado de manera significativa. El nmero y el tipo de dispositivos que integran la infraestructura de accesose ha multiplicado, incluyendo elementos de tecnologa fija, inalmbrica y mvil, as como una proporcincreciente de accesos que estn conectados de manera permanente. Como consecuencia de todos estos cambios, lanaturaleza, volumen y sensibilidad de la informacin que se intercambia a travs de esta infraestructura se ha

incrementado de manera muy significativa.

Como resultado de una creciente interconexin, los sistemas y las redes de informacin son ms vulnerables, yaque estn expuestos a un nmero creciente, as como a una mayor variedad, de amenazas y de vulnerabilidades.Esto hace que surjan nuevos retos que deben abordarse en materia de seguridad. Por estas razones, estasDirectrices se aplican para todos los participantes de la nueva sociedad de la informacin y sugieren la necesidadde tener una mayor conciencia y entendimiento de los aspectos de seguridad, as como de la necesidad dedesarrollar una cultura de seguridad.

I. HACIA UNA CULTURA DE SEGURIDAD

Estas Directrices pretenden dar respuesta a un ambiente de seguridad cada vez ms cambiante, a travs de lapromocin del desarrollo de una cultura de seguridad esto es, centrndose en la seguridad del desarrollo desistemas y redes de informacin, as como en la adopcin de nuevas formas de pensamiento y comportamientoen el uso e interconexin de sistemas y redes de informacin. Estas Directrices marcan una clara ruptura con untiempo en el que los aspectos de seguridad y el uso de redes y sistemas se consideraban con frecuencia comoelementos a posteriori. Los sistemas, redes y servicios de informacin afines, deben ser fiables y seguros, dadoque los participantes son cada vez ms dependientes de stos. Slo un enfoque que tome en cuenta los interesesde todos los participantes y la naturaleza de los sistemas, redes y servicios afines puede proporcionar unaseguridad efectiva.

6


7/12

Cada participante es un actor importante en la garanta de la seguridad. Cada participante de acuerdo con elpapel que desempea deber ser consciente de los riesgos de seguridad y de las medidas preventivas que seanoportunas, debiendo asumir la responsabilidad que les corresponde y tomar las medidas necesarias parafortalecer la seguridad de los sistemas y redes de informacin.

La promocin de una cultura de seguridad requerir tanto un liderazgo fuerte como una participacin ampliapara asegurar que se le otorgue un carcter de prioritario a la planificacin y administracin de la seguridad, as

como la comprensin de la necesidad de una seguridad plena entre todos los participantes. Los aspectos deseguridad deberan ser objeto de inters y responsabilidad a todos los niveles de la administracin pblica yempresa, as como para todos losparticipantes. Estas Directrices constituyen una base de trabajo fundamental hacia una cultura de seguridad paratoda la sociedad. Ello permitir que los participantes consideren la seguridad en el diseo y uso de los sistemas yde las redes de informacin. Asimismo, estas Directrices proponen que todos los participantes adopten ypromuevan una cultura de seguridad como modo de pensar, as como de evaluar y actuar en los sistemas y redesde informacin.

II. PROPSITOS

Los propsitos de estas Directrices son:

Promover una cultura de seguridad entre todos los participantes como medio de proteger los sistemas yredes de informacin.

Incrementar la concienciacin sobre el riesgo de los sistemas y redes de informacin; sobre las polticas,prcticas, medidas y procedimientos disponibles para poder afrontar estos riesgos; as como sobre lanecesidad de adoptarlos y ejecutarlos.

Promover entre todos los participantes una confianza mayor en los sistemas y redes de informacin, scomo en la forma de operar y de uso.

Crear un marco general de referencia que ayude a los participantes en la comprensin de los aspectos deseguridad y respeto de valores ticos en el desarrollo y ejecucin de polticas coherentes, as como deprcticas, medidas y procedimientos para la seguridad de sistemas y redes de informacin.

Promover entre todos los participantes cuando sea posible, la cooperacin y el intercambio deinformacin sobre el desarrollo y ejecucin de polticas de seguridad, as como de prcticas, medidas yprocedimientos.

Promover el conocimiento en materia de seguridad como un objetivo importante a lograr entre todos losparticipantes involucrados en el desarrollo y ejecucin de normas tcnicas.

III. PRINCIPIOS

Los siguientes nueve principios son complementarios entre s, y deben ser interpretados como un todo. stos sonde inters general para todos los participantes y a todos los niveles, tanto en el mbito poltico como tcnico. Deacuerdo con estas Directrices, la responsabilidad de los mismos vara de acuerdo con los papeles quedesempeen. Todos se vern beneficiados por la concienciacin, educacin, intercambio de informacin ycapacitacin que lleven a la adopcin de un mejor entendimiento de la seguridad y de las prcticas requeridas.Los esfuerzos para fortalecer la seguridad de los sistemas y redes de informacin deben ser consistentes con los

7


8/12

valores de una sociedad democrtica, en particular con la necesidad de contar con flujos de informacin libres yabiertos, y los principios bsicos de proteccin de la privacidad personal1.

1) Concienciacin Los participantes debern ser conscientes de la necesidad de contar con sistemas y redes de informacinseguros, y tener conocimiento de los medios para ampliar la seguridad.

El conocimiento de los riesgos y de los mecanismos disponibles de salvaguardia, es el primer paso en la defensade la seguridad de los sistemas y redes de informacin. Estos sistemas y redes de informacin pueden verseafectados tanto por riesgos internos como externos. Los participantes deben comprender que los fallos en laseguridad pueden daar significativamente los sistemas y redes que estn bajo su control. Deben asimismo serconscientes del dao potencial que esto puede provocar a otros derivados de la interconexin y lainterdependencia. Los participantes deben tener conocimiento de las configuraciones y actualizacionesdisponibles para sus sistemas, as como su lugar que ocupan dentro de las redes, las prcticas a ejecutar paraampliar la seguridad, y las necesidades del resto de los participantes.

2) ResponsabilidadTodos los participantes son responsables de la seguridad de los sistemas y redes de informacin .

Los participantes dependen de los sistemas y redes de informacin locales y globales, y deben comprender suresponsabilidad en la salvaguarda de la seguridad de los sistemas y redes de informacin. Asimismo debenresponder ante esta responsabilidad de una manera apropiada a su papel individual. Los participantes debenigualmente revisar sus propias polticas, prcticas, medidas y procedimientos de manera regular, y evaluar sistos son apropiados en relacin con su propio entorno. Aquellos que desarrollan y disean o suministranproductos o servicios debern elevar la seguridad de los sistemas y redes, y distribuir a los usuarios de maneraapropiada informacin adecuada en materia de seguridad, incluyendo actualizaciones, para que stos entiendanmejor la funcionalidad de la seguridad de sus productos y servicios, as como la responsabilidad que lescorresponde en materia de seguridad.

3) Respuesta Los participantes deben actuar de manera adecuada y conjunta para prevenir, detectar y responder a

incidentes que afecten la seguridad.

Al reconocer la interconexin de los sistemas y de las redes de informacin, as como el riesgo potencial de undao que se extienda con rapidez y tenga una alcance amplio, los participantes deben actuar de manera adecuaday conjunta para enfrentarse a los incidentes que afecten la seguridad. Asimismo han de compartir informacinsobre los riesgos y vulnerabilidades y ejecutar procedimientos para una cooperacin rpida y efectiva quepermita prevenir, detectar y responder a incidentes que afecten a la seguridad. Cuando sea posible, estasactuaciones habrn de suponer un intercambio de informacin y una cooperacin transfronteriza.

4) ticaLos participantes deben respetar los intereses legtimos de terceros.

Debido a la permeabilidad de los sistemas y de las redes de informacin en nuestras sociedades, los participantesnecesitan reconocer que sus acciones o la falta de stas, pueden comportar daos a terceros. Es crucial manteneruna conducta tica, debiendo los participantes hacer esfuerzos por desarrollar y adoptar buenas prcticas ypromover conductas que reconozcan la necesidad de salvaguardar la seguridad y respetar los intereses legtimosde terceros.

1Adems de las Directrices sobre Seguridad, la OCDE ha desarrollado Recomendaciones complementarias relativas a las directrices a seguir en otrosaspectos importantes de la sociedad de la informacin mundial. Tales se refieren a la privacidad (Directrices de la OCDE en materia de Proteccin de laPrivacidad y de los flujos transfronterizos de Datos Personales) y a la criptografa (Directrices de la OCDE en materia de Polticas de Criptografa de1997). Las Directrices sobre Seguridad habrn de ser interpretadas en virtud de stas otras Directrices.

8


9/12

5) Democracia.La seguridad de los sistemas y redes de informacin debe ser compatible con los valores esenciales de unasociedad democrtica.

La seguridad debe lograrse de manera consistente con garanta de los valores reconocidos por las sociedadesdemocrticas, incluyendo la libertad de intercambio de pensamiento e ideas, as como el libre flujo deinformacin, la confidencialidad de la informacin y la comunicacin y la proteccin apropiada de informacin

personal, apertura y transparencia.

6) Evaluacin del riesgoLos participantes deben llevar a cabo evaluaciones de riesgo.

La evaluacin del riesgo identificar las amenazas y vulnerabilidades, y debe ser lo suficientemente amplia paraincluir factores internos y externos fundamentales como tecnologa, factores fsicos y humanos, y polticas yservicios de terceros que tengan repercusiones en la seguridad. La evaluacin del riesgo permitir determinar losniveles aceptables de seguridad y ayudar en la seleccin de controles apropiados para administrar el riesgo dedaos potenciales a los sistemas y redes de informacin, en relacin a la naturaleza e importancia de lainformacin que debe ser protegida. Debido a la creciente interconexin de los sistemas de informacin, laevaluacin del riesgo debe incluir asimismo consideraciones acerca del dao potencial que se puede causarse a

terceros o que pueden tener su origen en terceras personas.

7) Diseo y realizacin de la seguridad. Los participantes deben incorporar la seguridad como un elemento esencial de los sistemas y redes deinformacin.

Los sistemas, las redes y las polticas debern ser diseados, ejecutados y coordinados de manera apropiada paraoptimizar la seguridad. Un enfoque mayor pero no exclusivo de este esfuerzo ha de encontrarse en el diseo yadopcin de mecanismos y soluciones que salvaguarden o limiten el dao potencial de amenazas ovulnerabilidades identificadas. Tanto las salvaguardas tcnicas como las no tcnicas as como las soluciones aadoptar se hacen imprescindibles, debiendo ser proporcionales al valor de la informacin de los sistemas y redesde informacin. La seguridad ha de ser un elemento fundamental de todos los productos, servicios, sistemas y

redes; y una parte integral del diseo y arquitectura de los sistemas. Para los usuarios finales el diseo eimplementacin de la seguridad radica fundamentalmente en la seleccin y configuracin de los productos yservicios de sus sistemas.

8) Gestin de la Seguridad.Los participantes deben adoptar una visin integral de la administracin de la seguridad.

La gestin de la seguridad debe estar basada en la evaluacin del riesgo y ser dinmica, debiendo comprendertodos los niveles de las actividades de los participantes y todos los aspectos de sus operaciones. Asimismo ha deincluir posibles respuestas anticipadas a riesgos emergentes y considerar la prevencin, deteccin y respuesta aincidentes que afecten a la seguridad, recuperacin de sistemas, mantenimiento permanente, revisin y auditora.Las polticas de seguridad de los sistemas y redes de informacin, as como las prcticas, medidas y

procedimientos deben estar coordinadas e integradas para crear un sistema coherente de seguridad. Lasexigencias en materia de gestin de seguridad dependern de los niveles de participacin, del papel quedesempean los participantes, del riesgo de que se trate y de los requerimientos del sistema.

9) ReevaluacinLos participantes deben revisar y reevaluar la seguridad de sus sistemas y redes de informacin, y realizar lasmodificaciones pertinentes sobre sus polticas, prcticas, medidas y procedimientos de seguridad.

9


10/12

De manera constante se descubren nuevas amenazas y vulnerabilidades. Los participantes debern, en estesentido, revisar y evaluar, y modificar todos los aspectos de la seguridad de manera continuada, a fin de poderenfrentarse a riesgos siempre en evolucin permanente.

RECOMENDACIN DEL CONSEJO RELATIVA A LAS DIRECTRICES PARA LA SEGURIDAD DE

SISTEMAS Y REDES DE INFORMACIN


EL CONSEJO,

Considerando la Convencin de la Organizacin de la Cooperacin y Desarrollo Econmicos del 14 dediciembre de 1960, y en particular de los artculos 1 b), 1 c), 3 a) y 5 b) ;

Considerando la Recomendacin del Consejo en relacin con las Guas que Regulan la Proteccin de la

Privacidad y los Flujos Transfronterizos de Datos Personales del 23 de septiembre de 1980 (C(80)58/Final);

Considerando la Declaracin sobre Flujos Transfronterizos de Informacin adoptada por los Pasesmiembros de la OCDE el 11 de abril de 1985 (Anexo al C (85)139);

Considerando la Recomendacin del Consejo en materia de Directrices para Polticas de Criptografa del27 de marzo de 1997 (Anexo al C (97)62/Final);

Considerando la Declaracin Ministerial sobre Proteccin de la Privacidad en las Redes Globales del 7-9de diciembre de 1998 (Anexo al C (98)177/Final);

Considerando la Declaracin Ministerial sobre la Autentificacin del Comercio Electrnico del 7-9 de

diciembre de 1998 (Anexo al C (98)177/Final);

Reconociendo que los sistemas y redes de informacin son cada vez ms usados y gozan de un valorcreciente para los gobiernos, las empresas y otras organizaciones, as como para los usuarios individuales;

Reconociendo que la creciente importancia del papel de los sistemas y redes de informacin, y lacreciente dependencia de ellos para asegurar la estabilidad y eficiencia de las economas nacionales y delcomercio internacional, y de la vida social, cultural y poltica, se hace evidente la necesidad de desarrollaresfuerzos especiales para proteger y promover la confianza en tales medios;

Reconociendo que los sistemas y redes de informacin, y su proliferacin en todo el mundo han estadoacompaados de nuevos y crecientes riesgos;

Reconociendo que los datos e informacin almacenados y transmitidos a travs de los sistemas y redesde informacin estn sujetos a las amenazas provenientes de accesos, usos, apropiacin y alteracin noautorizados, transmisiones fraudulentas de cdigo, cada o destruccin del servicio, y requieren de mecanismosadecuados para salvaguardarlos;

Reconociendo que existe la necesidad de incrementar el conocimiento de los riesgos de los sistemas yredes de informacin, y de las polticas, prcticas, medidas y procedimientos disponibles para responder a stos,se hace necesario promover un comportamiento adecuado como paso esencial para el desarrollo de una culturade seguridad;

10


11/12

Reconociendo que hay una necesidad de revisar las polticas, prcticas, medidas y procedimientos

existentes en la actualidad, para asegurar que sean capaces de responder a los retos cambiantes y a las amenazasa los que se enfrentan los sistemas y redes de informacin;

Reconociendo que es de inters comn promover la seguridad de los sistemas y redes de informacin,mediante una cultura de seguridad que ample la coordinacin y cooperacin internacional para afrontar los

riesgos provocados por el dao potencial de fallos en la seguridad de las economas nacionales, el comerciointernacional y la vida social, cultural y poltica;

Y reconociendo tambin que las Directrices para la Seguridad de Sistemas y Redes de Informacin:Hacia una Cultura de Seguridadestablecidas en el Anexo de esta Recomendacin son de carcter voluntario yno afectan a los derechos de soberana de las naciones;

Y reconociendo tambin que estas Directrices por ningn motivo sugieren que exista una solucin nicapara la seguridad ni polticas, prcticas, medidas o procedimientos apropiados para una situacin particular, sinoque, ms bien, pretenden proporcionar un marco de principios para promover una mejor informacin por partede los usuarios a fin de que puedan beneficiarse y contribuir al desarrollo de una cultura de seguridad;

RECOMIENDA estas Directrices para la Seguridad de Sistemas y Redes de Informacin: Hacia unaCultura de Seguridada los gobiernos, empresas, otras organizaciones y usuarios individuales que desarrollen,posean, provean, administren o proporcionen servicio y usen sistemas y redes de informacin.

Y RECOMIENDA a los Pases Miembros:

Establecer nuevas polticas, prcticas, medidas y procedimientos, o modificar los existentes, para reflejary tomar en consideracin el contenido de lasDirectrices para la Seguridad de Sistemas y Redes de Informacin:Hacia una Cultura de Seguridad, mediante la adopcin y promocin de una cultura de seguridad, tal y como seestablece en dichas Directrices;

Desarrollar esfuerzos para consultar, coordinar y cooperar a nivel nacional e internacional, a los efectos

de poder implantar estas Directrices;

Dar a conocer dichas Directrices al sector pblico y privado, incluyendo gobiernos y empresas, y otrasorganizaciones y usuarios individuales, para promover una cultura de seguridad, y hacer que todas las partesinvolucradas asuman su responsabilidad en la materia, y adopten las medidas oportunas para ejecutar estasDirectrices en la medida de sus posibilidades;

Poner a disposicin de pases no miembros estas Directrices en el tiempo y forma adecuados;

Revisar estas Directrices cada cinco aos para promover la cooperacin internacional en aspectosrelacionados con la seguridad de los sistemas y redes de informacin;

INSTA al Comit de Poltica de Informacin, Informtica y Comunicaciones de la OCDE para promoverla implantacin de estas Directrices.

Esta Recomendacin viene a reemplazar a la Recomendacin del Consejo concerniente a las Directricesde Seguridad de los Sistemas de Informacin del 26 de noviembre de 1992 [C(92)188/Final].

11


12/12

12

HISTORIA DEL PROCEDIMIENTO

Las Directrices de Seguridad se completaron en 1992 y se revisaron en 1997. La presente revisin se acometien el ao 2001 por el Grupo de expertos de Seguridad de la Informacin y Proteccin de la Privacidad (WPISP),de conformidad con el mandato del Comit de Poltica de la informacin, Informtica y Comunicaciones

(ICCP), y acelerada tras la tragedia del 11 de septiembre.

El Proyecto lo emprendi el Grupo de expertos del WPISP, que se reuni en Washington DC, el 10 y 11 dediciembre de 2001, Sydney el 12 y 13 de febrero de 2002 y Pars del 4 al 6 de marzo de 2002. el WPISP sereuni en Pars el 5 y 6 de marzo de 2002, el 22 y 23 de abril de 2002, y el 25 y 26 de junio de 2002.

Las presentesDirectrices de la OCDE para la seguridad de sistemas y redes de informacin: hacia una culturade seguridadse adoptaron como Recomendacin del Consejo de la OCDE en su 1037 sesin de 25 de julio de2002.

DIRECTRICES DE LA OCDE PARA LA SEGURIDAD DE SISTEMAS Y REDES DE INFORMACIÓN: HACIA UNA CULTURA DE...

Documents

Transcript of DIRECTRICES DE LA OCDE PARA LA SEGURIDAD DE SISTEMAS Y REDES DE INFORMACIÓN: HACIA UNA CULTURA DE...