ISO 27001

INTRODUCCIÓN

 

La seguridad de la información siempre implica el mantenimiento de un equilibrio entre el nivel seleccionado de ésta contra los requerimientos de una organización para su correcto funcionamiento. Estos requerimientos son: confidencialidad, disponibilidad e integridad de sus activos. Debido a la dependencia de toda organización en sus sistemas de información, una organización tiene que medir sus vulnerabilidades en el contexto de las amenazas de seguridad existentes en el medio en donde se desarrolla.

 

Las recomendaciones y normas internacionales ofrecen un mecanismo para administrar el proceso de la administración de la seguridad de la información, y a través de su implantación, puede demostrar ser una organización robusta para la administración de la seguridad de la información.

 

ISO/IEC 27001

 

La norma ISO/IEC 27001:2005 parte de una adecuada Gestión de Riesgos, podemos decir entonces que se trata de un Sistema de Gestión de la Seguridad de la información que contiene dentro de él, y como parte toral y fundamental, a un Sistema de Gestión de Riesgos.

La Gestión de Riesgos de la Seguridad de la información parte de una adecuada valoración de los riesgos, la cual incluye la definición de una metodología para llevarla cabo, la definición del criterio de aceptación de riesgos,  la adecuada identificación de: activos, amenazas, vulnerabilidades, impactos (por la pérdida de de confidencialidad, integridad y disponibilidad) y la evaluación del riesgo, para de esta forma identificar las opciones de tratamiento de riesgos, seleccionar controles cuando sea aplicable (utilizando como base el Anexo A de la norma, en primera instancia, más los controles adicionales que se consideren necesarios), determinar los riesgos residuales, documentar todo el proceso (en particular el Documento de Aplicabilidad) y una vez obtenida la aprobación de la alta dirección estaremos en condiciones de formular el Plan de Tratamiento de Riesgos e implementarlo. Por supuesto debemos implementar, mantener, monitorear, revisar  y mejorar, para completar el ciclo de la Gestión de Riesgos.

La norma cuenta con un Anexo A el cual identifica 37 objetivos de control y 133 controles, la norma no pide que  todos sean implementados, pero solicita que aquellos que no lo sean se documenten la justificación de su exclusión.

 

Contenido de la Norma ISO/IEC 27001:2005:

0 Introducción

0.1 Generalidades

0.2 Enfoque basado en procesos

1 Objeto y campo de aplicación

1.1 Generalidades

1.2 Aplicación

2 Referencias normativas

3 Terminología

4 Sistema de Gestión de la Seguridad de la Información (SGSI)

4.1 Requisitos Generales

4.2 Establecer y gestiona el SGSI

4.2.1 Establecer el SGSI

4.2.2 Implementación y operación del SGSI

4.2.3 Monitoreo y Revisión del SGSI

4.2.4 Mantener y mejorar el SGSI

4.3 Requerimientos de documentación

4.3.1 General

4.3.2 Control de Documentos

4.3.3 Control de Registros

5 Responsabilidad de la Dirección

5.1 Compromiso de la Dirección

5.2 Gestión de recursos

5.2.1 Provisión de recursos

5.2.2 Entrenamiento, concientización y competencias

6. Auditorías internas del SGSI

6.1 Cumplimiento del Estándar

6.2 Cumplimiento de toda la legislación y regulaciones relevantes

6.3 Cumplimiento de los Requerimientos de Seguridad

7 Revisión por la Dirección del SGSI

7.1 Generalidades

7.2 Información para la revisión

7.3 Resultados de la revisión

8 Mejoras al SGSI

8.1 Mejora continua

8.2 Acción correctiva

8.3 Acción preventiva

 

ANEXO A

Incluimos a continuación los objetivos de control documentados en el Anexo A de la norma, no debemos olvidar que este anexo documenta 133 controles, los cuales no se incluyen aquí.

 

A.5 Política de Seguridad

A.5.1. Política de seguridad de la información

A.6 Organización de la Seguridad de la Información

A.6.1 Organización interna

A.6.2. Partes externas

A.7 Gestión de Activos

A.7.1 Responsabilidad por los activos

A.7.2 Clasificación de la información

A.8 Seguridad de los recursos humanos

A.8.1 Previo al empleo

A.8.2 Durante el empleo

A.8.3 Terminación o cambio de empleo

A.9 Seguridad física y ambiental

A.9.1 Áreas seguras

A.9.2 Equipo de seguridad

A.10 Gestión de las comunicaciones y operaciones

A.10.1 Procedimientos de operación y responsabilidades

A.10.2 Gestión de la prestación de servicios de terceros

A.10.3 Planeación y aceptación de sistemas

A.10.4 Protección contra código malicioso y móvil

A.10.5 Respaldo

A.10.6 Gestión de la seguridad de la red

A.10.7 Manejo de media de almacenamiento

A.10.8 Intercambio de información

A.10.9 Servicios de comercio electrónico

A.10.10 Monitoreo

A.11 Control de acceso

A.11.1 Requisitos del negocio para control de acceso

A.11.2 Gestión del acceso de los usuarios

A.11.3 Responsabilidades de los usuarios

A.11.4 Control de acceso a la red

A.11.5 Control de acceso al sistema operativo

A.11.6 Control de acceso a las aplicaciones e información

A.11.7 Cómputo móvil y trabajo remoto

A.12 Adquisición, desarrollo y mantenimiento de sistemas de información

A.12.1 Requisitos de seguridad de los sistemas de información

A.12.2 Procesamiento correcto en las aplicaciones

A.12.3 Controles criptográficos

A.12.4 Seguridad de los activos del sistema

A.12.5 Seguridad en los procesos de desarrollo y soporte

A.12.6 Gestión de la vulnerabilidad técnica

A.13 Gestión de incidentes de seguridad de la información

A.13.1 Reporte de eventos y debilidades de la seguridad de la información

A.13.2 Gestión de incidentes y mejoras de la seguridad de la información

A.14 Gestión de la continuidad del negocio

A.14.1 Aspectos de la seguridad de la información de la gestión de la continuidad del    negocio

A.15 Cumplimiento

A.15.1 Cumplimiento con los requisitos legales

A.15.2. Cumplimiento con políticas y estándares de seguridad y cumplimiento técnico

A.15.3 Consideraciones de auditoría de los sistemas de información

 

La ISO 27001 busca preservar:

  • Confidencialidad: Acceden quienes están autorizados
  • Disponibilidad: Está disponible la información cuando se necesita por quien está autorizado.
  • Integridad: La información es precisa, confiable y completa para quien está autorizado.

 

Esta norma establece los requisitos mínimos de un Sistema de Gestión de la Seguridad de la Información, y uno de esos requisitos es contar con un Sistema de Gestión de Riesgo.

 

El Sistema de Gestión de Riesgo contenido en la norma ISO 27001, contempla el ciclo de Mejora Continua, contando con una fase de:

  • Planeación: donde debemos dimensionar y evaluar los riesgos.
  • Hacer: seleccionamos e implementamos los controles para tratar los riesgos identificados.
  • Chequear: Monitoreamos y revisamos los riesgos
  • Actuar: buscamos mantener y mejorar los controles establecidos con el propósito que cada vez sean más eficaces.

 

Primero debemos entender que la organización intenta proteger su activo más valioso que es la “información”, pero sabemos que la “información” se utiliza por distintos servicios y procesos dentro de la organización, también esta información se captura, transmite y almacena mediante los Usuarios, Canales de Comunicación, Software y Hardware (todo esto en su conjunto forman parte de los activos de la organización que se pretende proteger).

Además contamos con activos intangibles como es la reputación, la imagen de la organización.

 

Nuestro propósito es crear una barrera de protección alrededor de estos activos de tal forma que las amenazas que existen en el ambiente que operamos no los afecten, eventualmente pudieran modificarlo, operarlos, dañarlos o destruirlo de alguna forma y afectar la preservación de la Confidencialidad, Disponibilidad e Integridad.

 

Las amenazas siempre están latentes y pueden o no afectar nuestros activos en función de que tan buena, mala o regular sea nuestra barrera de protección que hemos establecido para protegerlos.

 

Los puntos débiles de nuestra barrera de protección le llamamos vulnerabilidades  existe un punto débil por donde la amenaza penetrará y nos causará un daño a la organización. Cuando esto sucede tenemos un impacto el cual se puede reflejar en pérdidas financieras, implicaciones legales o contractuales, penalizaciones o multas, afectación de la imagen ante el público, nuestros clientes.

 

Este impacto debemos buscar cuantificarlo como puede ser un impacto financiero y en algunos casos se deberá hacer en forma cualitativa por ejemplo estableciendo una escala de afectación como MUY ALTO, ALTO, MEDIO, BAJO, lo importante es tener un criterio de evaluación.

 

De esta forma entendiendo las amenazas, vulnerabilidades y las posibilidades de que sucedan, conociendo el impacto podremos saber los Riesgos al cual está expuesto la organización y su magnitud, de tal forma que esto me permita dar un valor a cada riesgo y me permita tener un criterio para tomar decisiones sobre qué hacer con ellos.

 

Una vez que contamos con la evaluación de riesgo defino cómo tratarlos es decir puedo aceptar el riesgo como está, puedo transferirlo o tomar otras decisiones pero el punto en claro para la organización es trabajar con los riesgos que desea mitigar. En este caso estableceremos controles que me van a permitir reducir el nivel de riesgo, es decir los controles es la barrera de protección de la que hemos hablado y que la hacen más fuerte y resistente. No existe ningún control que sea infalible pero me permiten reducir o mitigar el riesgo aceptable para la organización haciéndola menos vulnerables a ciertas amenazas y sus impactos potenciales.

 

ISO 27001: HISTORIA

 

  • 1990 – El Departamento de comercio e industria del Reino Unido apoyó su desarrollo
  • 1995 – Por primera vez se adopta como norma inglesa (BSI)
  • 1998 – Se lanzan los requisitos para su certificación
  • 1999 – Se emite una segunda edición de la norma
  • 2000 – Fue aprobada como la parte 1 de ISO17799
  • 2002 – BS7799-2 se publicó el 5 de septiembre: en esta revisión se adoptó el “modelo de proceso” con el fin de alinearla con ISO9001 e ISO14001 (la ISO 27001 se basa en esta Norma Británica)
  • 2004 – A finales del 2004, cerca de 950 compañías se habían certificado en BS 7799-2
  • 2005 – Se publica ISO/IEC17799:2005 en Junio y la ISO2700 1:2005 en Octubre.
  • 2007 – Se publica ISO27002:2005 (se renombra ISO/IEC17799:2005)

 

Ventajas de utilizar la ISO 27001

 

  • Provee mejores prácticas
  • Permite implementar en una forma eficaz, completa y ordenada
  • Genera confianza entre organizaciones
  • Establece la mejora continua
  • Es certificable
  • Aplicable a cualquier tipo de organización, sin importar: tipo, tamaño y riesgos asociados
  • Aplicable a cualquier tipo de información
  • Compatible con otros estándares
  • Establece requisitos mínimos

 

Familia ISO 27000: Vocubulario

 

ISO 27001: Contiene los requisitos del sistema de gestión de seguridad de la información. (Certificable)

 

La norma contiene los requisitos para:

 

  • Establecer
  • Implementar
  • Operar
  • Supervisar
  • Revisar
  • Mantener
  • Y mejorar un Sistema de Gestión de la Seguridad de la Información

 

ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.

 

ISO 27003: guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.

 

ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y usar) del ciclo PDCA.

 

ISO 27005: Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya conceptos generales especificados en la norma ISO/IEC 270011.

 

ISO 27006: Requisitos para la acreditación de entidades de auditoría y certificación de SGSI.

 

ISO 27007: es una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).

 

ISO 27008: Guía para la Gestión de la Continuidad del Negocio (BS25999-1:2006 Bussines Continuity Guide)

 

ISO 27009: Telecomunicaciones

 

ISO 27010: Industria Automotriz

 

Alcance y Contenido de la Norma ISO 27001

 

Definiremos Alcance que son los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI dentro del contexto total de los riesgos de negocio asociados a la organización.

 

Primero debemos notar que en este alcance estamos hablando del ciclo de “Mejora Continua” (Planear, Hacer, Chequear y Actuar), así que este alcance deja en claro como parte fundamental la necesidad de contener una “Metodología de Riesgo” dentro del Sistema de Gestión de la Seguridad de la Información.

 

Como hemos mencionado anteriormente esta norma utiliza el sistema PlanDoCheckAct del ciclo de mejora continua también denominado ciclo Deming y esto quiere decir que como parte del sistema no sólo debemos planificarlo e implementarlo la primera vez sino que también debemos verificarlo y a partir de lo que identifiquemos deberemos tomar acciones correctivas para mejorarlo a través del tiempo este implica que es un sistema vivo y en constante evolución buscando que cada día sea mejor y más eficaz.

 

Fase de Planeación:

 

Buscaremos definir cuestiones relevantes tales como el “Alcance y la Política del Sistema de Gestión”. Definiremos los primeros pasos para la gestión de riesgo, iniciando con la definición de la metodología para la evaluación de riesgo y la definición del criterio de aceptación de riesgos. Así como la identificación, análisis y evaluación de los riesgos. Lo cual es en sí la aplicación de la metodología de la evaluación de riesgos que definimos anteriormente.

 

Una vez que contamos con la evaluación de los riesgos debemos tomar la decisión de decir qué tratamiento le daremos a dichos riesgos, identificando y evaluando las opciones y alternativas que tenemos para el tratamiento de los mismo para finalmente seleccionar los objetivos de control y controles que estaremos implementando en la organización con el propósito de mitigar dichos riesgos y llevarlos a un nivel aceptable para la organización todo esto quedará establecido en el documento de “Aplicabilidad” el cual contendrá una relación de todos los controles definidos en el Anexo A de la Norma ISO 27001 y en el cual especificamos qué controles, si se implementarán y por otro lado justificaremos adecuadamente los controles que decidiremos no implementar.
Para concluir la fase de planeación debemos obtener la aprobación gerencial (Comité de Dirección) en cuanto a los riesgos residuales y a la implementación del Sistema de Gestión de la Seguridad de la Información.

 

En resumen:

  • Definir el alcance del SGSI
  • Definir una política para el SGSI
  • Definir la metodología de evaluación de riesgos
  • Criterio de aceptación de riesgos
  • Identifica los riesgos
  • Analizar y evaluar los riesgos
  • Identificar y evaluar opciones para el tratamiento de los riesgos
  • Seleccionar objetivos de control y controles
  • Obtener aprobación gerencial de los riesgos residuales
  • Obtener aprobación gerencial del SGSI
  • Prepara el Documento de Aplicabilidad (SOA vs Anexo A)

 

Aclaración SOA: es un estilo de arquitectura que enfatiza el uso de servicios de red, seguros, compartibles, de granos finos y desacoplados para incrementar la flexibilidad del negocio de una manera interoperable agnóstica tecnológicamente.

SOA es un concepto de arquitectura de software que define la utilización de servicios para dar soporte a los requisitos del negocio.

 

Fase de Hacer:

 

Se refiere a la Implementación y Operación del Sistema de Gestión de la Seguridad de la Información. Aquí partimos con la definición del Plan de Tratamiento de Riesgo (Gestión de Incidencias) para el cual teniendo la selección de los controles que hicimos anteriormente define el plan para su implementación y puesta en operación. Una vez definido este plan de tratamiento de riesgo debemos llevarlo a cabo e implementar y poner en operación los controles seleccionados. Así también para los controles que estamos implementando debemos establecer los medios para medir su eficacia de tal forma que podamos evaluar qué tan buen resultado nos está dando en la vida real.

 

Por otra parte en esta fase debemos llevar a cabo todo la formación  y toma de conciencia necesaria a todos los niveles de la organización.

 

Finalmente gestionaremos la operación del sistema y sus recursos, una parte final y clave en la implementación es contar con un procedimiento establecido para la detección y respuesta de eventos e incidentes de seguridad como ya dijimos no existen controles infalibles por lo tanto debemos tener mecanismos para que cuando se presente eventos o incidentes de seguridad estos puedan ser reportados y se les de el seguimiento adecuado hasta su cierre y conclusión.

 

En resumen:

  • Formular el Plan de Tratamiento de Riesgos
  • Implementar el Plan de Tratamiento de Riesgos
  • Implementar los controles seleccionados
  • Definir cómo medir la eficacia de los controles
  • Implementar un plan de formación y concientización.
  • Gestionar las operaciones del SGSI
  • Gestionar los recursos del SGSI
  • Implementar procedimientos para detectar/responder a eventos o incidentes de seguridad

 

Fase de Chequear/Verificar:

 

El propósito de esta fase será Medir y Monitorear nuestro sistema de gestión. Demos llevar a cabo revisiones regulares del sistema de gestión y medir la eficacia de los controles.

También como parte de la Gestión de Riesgos deberemos nosotros el determinar si las condiciones del ambiente del negocio y de operación no han cambiado, así como la magnitud de los riesgos residuales; las organizaciones cambiar y evolucionan por ende los riesgos también pueden cambiar, podemos estar expuestos a nuevos riesgos que antes no eran relevantes o bien que cierto riesgo ya no sean significativo en las nuevas circunstancias.

 

Por otra parte deberemos llevar a cabo auditorías internas de acuerdo a un plan establecido, así como revisiones por la dirección debidamente programadas. Debemos finalmente actualizar nuestros planes de seguridad en función de las actividades de monitoreo y revisión y llevar registros de todas las acciones y eventos que afecten la eficacia del Sistema de Gestión de la Seguridad de la Información

 

En resumen:

  • Ejecutar procedimientos de monitoreo y revisión.
  • Efectuar revisiones regulares de la eficacia del SGSI
  • Medir la eficacia de los controles
  • Revisar, de acuerdo a un plan, la evaluación de riesgos, el nivel de riesgos residuales y aceptables, considerando los cambios en el ambiente.
  • Realizar auditorías internas del SGSI de acuerdo a un plan.
  • Revisión periódica por la dirección.
  • Actualizar planes de seguridad en función de las actividades de monitoreo y revisión
  • Registrar acciones y eventos que afecten la eficacia del SGSI

 

Fase de Actuar:

 

Finalmente hemos llegado a la última fase que completa el ciclo de mejora continua y es la fase donde debemos actuar en base a los resultados obtenidos al operar el Sistema de Gestión de la Seguridad de la Información. En esta fase se debe llevar a cabo la implementación de las mejoras que se hayan identificado. Debemos tomar las acciones correctivas y preventivas que se consideren adecuadas; se deben comunicar e informar acerca de todas las acciones que se toman y principalmente asegurarnos de que las mejores al Sistema de Gestión logren los objetivos esperados.

 

En resumen:

Mantener y Mejorar el SGSI.

  • Implementar las mejores identificativas
  • Tomar acciones preventivas/correctivas. Aplicar lecciones aprendidas
  • Comunicar los resultados a las partes interesadas
  • Asegurar que las mejoras logran los objetivos esperados.

 

Cláusulas / Estructura de la Norma ISO 27001

  • Clausula 0. Introducción
  • Clausula 1. Alcance: que se ha comentado anteriormente
  • Clausula 2. Normas de referencia: donde básicamente son las normas de control de la ISO 27002
  • Clausula 3. Términos y definiciones: definiciones básicas
  • Clausula 4. Sistema de Gestión de Seguridad de la Información: Requisitos de la norma siguiendo el ciclo de mejora continua que incluye la planeación, el establecimiento del sistema de gestión, su implementación y operación, el monitoreo y revisión, el mantenimiento y mejora, finalmente se señalan los requisitos de documentación y el control de documentos y registros.
  • Clausula 5. Responsabilidad de la Dirección: incluyendo el compromiso de la dirección y la gestión de los recursos.
  • Clausula 6. Auditorías Internas del SGSI: Auditorías internas del sistema de gestión.
  • Clausula 7. Revisión Gerencial del SGSI: habla de la revisión por la dirección al sistema de gestión.
  • Clausula 8. Mejora SGSI: tiene que ver con las mejoras al sistema aquí se incluyen las acciones correctivas y preventivas.

 

Finalmente la norma presenta tres anexos primero mencionaremos el Anexo B que establece la correspondencia de esta norma con algunos de los principios que es sobre la seguridad de la información a definido a la Organización para la Cooperación y el Desarrollo Económico (OCDE por sus siglas en inglés)

 

En el Anexo C establece la correspondencia entre las normas ISO 9001:2000 e ISO 14001:2004 con la norma ISO 27001:2005

 

Para concluir hemos dejado al final el Anexo A este anexo es fundamental y muy importante para poder cumplir con los requisitos de la norma 27001, fundamentalmente establece la lista de objetivos de control y controles que se espera que la organización revise y decida cuales implementará y cuales no; el resultado de esta selección debe ser establecido en el Documento de Aplicabilidad y debemos en particular justificar nuestra decisión sobre controles que hemos decidido no implementar por esta razón este anexo debe ser reviso con detenimiento por otro lado se darán cuenta al revisar el Anexo A que los controles que establece son en sentido común y en general cualquier organización debería considerar la implementación de la gran mayoría de ellos.

 

En Resumen:

 

  • Anexo A. Objetivos de Control y Controles: 11 Cláusulas, 39 Objetivos de Control y 133 Controles
  • Anexo B. Correspondiente con Principios OCDE
  • Anexo C. Correspondiente con ISO 9001:2000, ISO 14001:2004

 

Hablemos de la Documentación que deberíamos tener para un Sistema de Gestión de la Seguridad de la Información; por supuesto debemos contar con una política, objetivos y alcance del sistema de gestión claramente establecidos.

 

Debemos contar con todos los procedimientos y controles en soporte al sistema de gestión como parte a la gestión de riesgo. También debemos de tener documentada la metodología para evaluación de los riesgos y el reporte con el resultado de dicha evaluación.

 

Debemos además contar con el Plan de Tratamiento de Riesgos con todos los procedimientos para la planeación, operación y control de los procesos de seguridad, así como medir la eficacia de los controles implementados.

 

Debemos de tener todos los registros requeridos y finalmente el Documento de Aplicabilidad el cual contendrá la lista de los controles del Anexo A, indicando cuales han sido implementados y para los que no contendrá una justificación de dicha decisión; también deberá contener si fuera el caso controles adicionales que la organización haya decidido implementar en base a sus necesidades y condiciones particulares.

 

Documentación SGSI

 

  • Política y objetivos del SGSI
  • Alcance del SGSI
  • Procedimientos y controles en soporte al SGSI
  • Descripción de la metodología de Evaluación de Riesgos
  • Reporte de la Evaluación de Riesgos
  • Plan de Tratamiento de Riesgos
  • Procedimientos documentadas de la organización para la efectiva planeación, operación y control de los procesos de seguridad de la información y de la forma de medir la eficacia de los controles.
  • Registros requeridos por el estándar
  • Documento de Aplicabilidad (SOA – Statement of Applicability)

 

Volviendo al tema de la documentación de la gestión de la seguridad de la información resultará familiar para varias personas que ya conozcan la norma ISO 9001 que varios de los procedimientos que requiere son exactamente iguales a los requeridos por ISO 27001 de ahí la coincidencia de ambos sistemas de gestión, hablemos entonces por ejemplo, del control de documentos, el control de registros, las auditorías internas y el procedimiento de acciones correctivas y preventivas; como hemos mencionado este es un sistema de gestión que bien puede integrarse a un sistema de gestión de la calidad, como puede ser un sistema de gestión ambiental bajo ISO 14001; los cuales tienen en común entre otras cosas estas necesidades de documentos obligatorios.

 

En Resumen:

 

  • Control de Documentos
  • Control de Registros
  • Auditorías Internas
  • Acciones Correctivas
  • Acciones Preventivas

 

ISO 27001:2005. Anexo A: Objetivos de Control y Controles

 

Hablemos ahora brevemente del Anexo A como hemos mencionado este anexo es muy importante en la norma 27001 porque contiene una relación de los objetivos de control y controles que en términos generales espera que cualquier organización necesite implementar como ya mencionamos la organización puede decidir cuales implementar y cuales no su decisión estará claramente definida y por escrito en el documento de aplicabilidad con la salvedad que los controles que decidan no implementar deberán incluir una justificación de dicha decisión.

 

Las cláusulas definidas en el Anexo A que contiene los 133 controles las podemos resumir de la siguiente manera:

 

Objetivos de Control y Controles

 

  • Política de Seguridad: se refiere a contar con una política de seguridad, que se apruebe, publique, comunique y finalmente se revise periódicamente.
  • Organización: se refiere al manejo de la seguridad de la información dentro de la organización mediante el compromiso de la dirección, la coordinación de las actividades de seguridad de la organización, la asignación clara de responsabilidades en cuanto a la seguridad de la información, así como mecanismos de autorización, acuerdos de confidencialidad, contactos con autoridades, contactos con grupos de interés y revisiones independientes. Por otro lado considera la identificación de los riesgos de trabajar con organizaciones externas como los propios clientes, los proveedores y  terceros en general.
  • Gestión de Activos: se refiere a contar con un inventario de activos, empezando con la información misma, identificando los propietarios de los activos y su uso aceptado; además debemos definir los criterios para clasificar, etiquetar y mantener la información.
  • Control de Acceso: se refiere a los requisitos del negocio en cuanto control de acceso, la gestión al acceso a los usuarios, la definición de la responsabilidad de los usuarios, el control de acceso a la red, el control de acceso al sistema operativo, el control de acceso a las aplicaciones y la información y el cómputo móvil y trabajo remoto.
  • Cumplimiento: se refiere al cumplimiento con los requisitos legales como el derecho de propiedad intelectual, información personal, incluye leyes, reglamentos, normas y contratos, también tiene consideración en la relación relacionadas con las auditorías.
  • Seguridad de los Recursos Humanos: es gestionar la seguridad de dichos recursos ante de contratarlos una vez que estén contratados o cuando se van de la organización, o cambian de empleo dentro de la organización este incluye cuestiones como explicarse sus roles y responsabilidades, investigar los antecedentes de los candidatos empleados, explicar los términos y condiciones de empleos, contar con un proceso disciplinario, la entrega de activo a su cargo cuando dejan el empleo, etc.
  • Seguridad Física y Ambiental: incluye las áreas seguras considerando el perímetro de seguridad física, el control de acceso, protección contra amenazas externas como inundación, fuego, etc., también considera la seguridad del equipo como su ubicación, suministro adecuado de energía, cableado, mantenimiento, etc.
  • Adquisición, Desarrollo y Mantenimiento de Sistemas: considera los requisitos de seguridad de los sistemas, el procesamiento correcto de las aplicaciones, el uso de controles criptográficos, la seguridad de los archivos de los sistemas, la seguridad de los procesos de soporte y desarrollo y la gestión de las vulnerabilidades técnicas.
  • Gestión de Comunicaciones y Operaciones: considera las responsabilidades y procedimientos de operación, la gestión de servicios proporcionados por terceros, incluyendo proveedores, esquemas de outsourcing o tercerización en general, personal subcontrado, etc. La planeación y aceptación del sistema, la protección contra código malicioso y código móvil, el respaldo de información, la gestión de la seguridad de la red, el manejo de media con la información, el intercambio de información, los servicios de comercio electrónico y el monitoreo de la operación y los sistemas.
  • Gestión de Continuidad del Negocio: que considera la protección de las actividades, proceso e información del negocio ante un desastre o eventualidad mayor.
  • Gestión de Incidentes de Seguridad de la Información: considera reporte, gestión y mejora como resultado de los incidentes de seguridad de la información.

 

Ventajas de Utilizar la norma ISO 27001

 

Finalmente como resumen de esta presentación podemos concluir que la norma 27001 especifica los requisitos para un Sistema de Gestión de la Seguridad de la Información y nos proporciona las siguientes ventajas:

 

Es una norma que contiene las mejores prácticas lo cual nos permite un SGSI en una forma más sencilla, eficaz, completa y ordenada.

 

Al cumplir con una norma internacional y además certificable por un tercero crea confianza entre las organizaciones con respecto a nuestra capacidad real para cumplir los requisitos que establece la norma.

 

Por otro lado es un sistema vivo ya que establece la mejora continua, una vez establecido el sistema busca retro-alimentarse en los resultados alcanzados para mejorar en aquellas áreas donde se vea que existe oportunidad de hacerlo.

 

Es certificable por lo tanto podremos contar con la opinión formal de un terceo que nos indique si nuestro SGSI efectivamente cumple o no con los requisitos establecidos en la norma y también como medio para tener una opinión externa que nos ayude a mejorar el Sistema de Gestión.

 

No olvidemos que esta norma aplica a cualquier tipo de organización sin tomar en cuenta su tamaño, o actividad.

 

Al final de cuentas TODOS SOMOS USUARIOS DE LA INFORMACIÓN y a TODOS NOS BENEFICIE GESTIONAR LA SEGURIDAD DE LA INFORMACIÓN en forma adecuada. Recordemos también que es aplicable para cualquier tipo de información ya sea en forma de datos, en medios electrónicos, escrita en papel, en video en forma de voz, etc.

 

Una ventaja de esta norma es que es compatible con otras normas como el caso de ISO 9001, lo cual facilita su comprensión y complementación para aquellas organizaciones que ya cuenten con un Sistema de Gestión de la Calidad implementado y certificado.

 

Finalmente como cualquier otra norma establece los requisitos mínimos y nuestra organización siempre está libre de establecer requisitos adicionales si estos son convenientes y necesarios para su caso en particular.

 

En resumen:

 

  • Provee mejores prácticas
  • Permite implementar en una forma eficaz, completa y ordenada.
  • Genera confianza entre organizaciones
  • Establece la mejora continua
  • Es certificable
  • Aplicable a cualquier tipo de organización, sin importar: tipo, tamaño, y riesgos asociados.
  • Compatible con otros estándares
  • Establece requisitos mínimos

 

Legislación necesaria para implementar la ISO 27001 en España

 

  • Leyes aplicables en relación con la Seguridad en los Sistemas de Información
  • Ley Orgánica de Protección de Datos (LOPD) más las normativas de protección de datos
  • Ley de Servicios para la Sociedad de la Información y el Comercio Electrónico (LSSI-CE)
  • Legislación de Firma Electrónica (LFE)
  • Relacionadas:

o   Ley de Acceso a los Ciudadanos a los Servicios Públicos

o   Ley de Medidas de Impulso a la Sociedad de la Información

 

Después de una revisión, el 25 de septiembre del 2013, se anunció  esta nueva versión de ISO/IEC 27001 que sustituye a la versión 2005 y que ha encontrado una gran cantidad de usuarios especialmente en la banca, contact centers y muchas otras organizaciones donde se vuelve  muy importante garantizar el buen manejo de la información y reducir los riesgos asociados a la misma, como el activo de alto valor que representa en cualquier organización.

 

Esta norma de guía, proporciona directrices para las normas de seguridad de información de la organización y las prácticas de gestión de seguridad de la información, incluyendo la selección, implementación y gestión de los controles, teniendo en cuenta la información del entorno de riesgos de seguridad de la organización. Está  diseñada para emplearse por las organizaciones que pretenden seleccionar los controles dentro del proceso de implantación de un Sistema de Gestión de Seguridad de la Información basado en ISO/IEC 27001, implementar controles de seguridad de la información generalmente aceptadas y desarrollar sus propias directrices de gestión de información de seguridad.

 

La norma ISO /IEC 27001:2013 cuenta  diez cláusulas cortas, además de un anexo, que abarcan:

 

  • Clausula 1. Alcance y campo aplicación de la norma
  • Clausula 2. Referencia al documento
  • Clausula 3. La reutilización de los términos y definiciones de la norma ISO/IEC 27001
  • Clausula 4. Contexto organizacional y las partes interesadas
  • Clausula 5. Liderazgo en seguridad de la información y apoyo de alto nivel para la política
  • Clausula 6. Diseño de un SGSI , evaluación de riesgos, tratamiento de riesgos
  • Clausula 7. Apoyar un sistema de gestión de seguridad de la información
  • Clausula 8. Hacer un sistema de gestión de seguridad de información operativa
  • Clausula 9. Revisar el funcionamiento del sistema
  • Clausula 10. La Acción Correctiva
  • Anexo A: Lista de los controles y sus objetivos.

 

Esta estructura refleja la con la nueva estructura de alto nivel de otras normas de gestión nuevos, tales como ISO 22301 (gestión de la continuidad del negocio) y la estructura que habrá de adoptar ISO 14001 y ISO 9001 en sus futuras revisiones. Algunos de los nuevos cambios son en terminología, el reemplazo del requisito de acciones preventivas por medidas para hacer frente a riesgos y oportunidades, muy similar a uno de los cambios propuestos en  ISO/CD 9001:2015 y el énfasis en determinar objetivos y medición del desempeño y sus métricas asociadas.

 

En Resumen:

 

  • Pone más énfasis en la medición y evaluación del SGSI
  • Nueva sección sobre la contratación externa, la cual refleja el hecho de que muchas organizaciones dependen de terceros para la prestación de algunos aspectos de las TI.
  • No enfatiza en el ciclo Plan-Do-Check-Act explícitamente, presta más atención al contexto de Seguridad de la Información en la Organización.
  • La 27001:2013 fue diseñada para ajustarse mejora a otras normas de gestión como ISO 9000 e ISO 20000.

 

LA CERTIFICACIÓN

 

  • Pre-Auditoría (Opcional): Existencia y alcance apropiado del SGSI
  • Auditoría de Certificación: posee dos fases, fase 1: revisión de la documentación y fase 2: procesos y controles.
  • Certificación: Emisión del certificado
  • Seguimiento Anual: Mejora continua.

 

Información documentada requerida para la certificación:

 

  • Alcance del Sistema de Gestión de Seguridad de la Información (ISMS) (cláusula 4.3)
  • Política de seguridad de la Información (cláusula 5.2)
  • Proceso de evaluación de riesgos (cláusula 6.1.2)
  • Proceso de tratamiento de riesgos (cláusula 6.1.3)
  • Objetivos de seguridad de la Información (cláusula 6.2)
  • Evidencia de la competencia de las personas que trabajan en SI (cláusula 7.2)
  • Otros documentos relacionados con el SGSI considerados necesarios en la Organización (7.5.1b cláusula)
  • Documentos de planificación y control operacional (cláusula 8.1)
  • Resultados de las evaluaciones de riesgos (cláusula 8.2)
  • Decisiones con respecto al tratamiento del riesgo (cláusula 8.3)
  • Evidencia del seguimiento y medición de seguridad de la información (cláusula 9.1)
  • Programa de auditoría interna sobre el SGSI y sus resultados (cláusula 9.2)
  • Evidencia de las principales revisiones a la gestión del SGSI (cláusula 9.3)
  • Evidencia de las no conformidades identificadas y acciones correctivas que surjan (cláusula 10.1)
  • Otra información documentada; uso aceptable de los activos, política de control de acceso, acuerdos de confidencialidad, desarrollo seguro, política de relaciones con los proveedores, procedimientos de cumplimiento de leyes, regulaciones y obligaciones contractuales, procedimientos de continuidad La Certificación

 

Términos:

 

SGSI: Sistema de Gestión de la Seguridad de la Información

TI: (Information technology) Tecnologías de la información

SI: Sistema de Información

ISO: International Organization for Standardization, la Organización Internacional de Normalización.

IEC: La Comisión Electrotécnica Internacional

Documento de Aplicabilidad: La declaración de aplicabilidad (SOA por sus siglas en Inglés), es un requerimiento obligatorio para poder cumplir con los requerimientos de la ISO/IEC 27001:2005. EL SOA es un documento que deberá desarrollar y que deberá presentar los objetivos de control así como la enumeración de todos y cada uno de los controles que hayan sido seleccionados para eliminar, mitigar o transferir los riesgos que hayan resultado de haber aplicado la metodología de análisis de riesgo a los activos que están dentro del alcance del SGSI. Este documento debe indicar la justificación y el razonamiento utilizado para su selección. Una simple lista enumerando los controles elegidos no será suficiente para cumplir con este importante requisito y difícilmente podría argumentarse que constituye un SOA.

COBIT: Control Objectives for Information and related Technology. Es una guía de mejores prácticas presentado como framework, dirigida al control y supervisión de tecnología de la información (TI).

ITIL: Informatin Technology Infraestrura Library. Es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general.

Outsourcing: es el proceso económico empresarial en el que una sociedad mercantil delega los recursos orientados a cumplir ciertas tareas a una sociedad externa.

Código Móvil: es el software de transferencia entre sistemas, por ejemplo, transferir a través de una red o mediante de un USB, etc.

ISO 9000: Sistema de Gestión de Calidad

ISO 2000: Gestión de Servicios de TI.

 

Fuentes:

  • Wikipedia
  • GrupoCRASA
  • Slideshare
  • ISO27000.es guía indispensable para el conocer los controles de la norma.

 

Etiquetado con:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.