FAMILIA DE ESTANDARES ISO 27000 Diego Fernando Hallo Yánez
Resumen. Un Sistema Administrativo de Seguridad de la Información (Information Security Management System ISMS) es una forma sistemática de administrar la información sensible de una compañía, para que permanezca segura. Abarca a las personas, los procesos y las Tecnologías de la Información. La seguridad de la información no termina al implementar el más reciente "firewall", o al sub-contratar a una compañía de seguridad las 24 horas. La forma total de la Seguridad de la Información, y la integración de diferentes iniciativas de seguridad, necesitan ser administradas para que cada elemento sea completamente efectivo. Aquí es donde entra el Sistema Administrativo de Seguridad de la Información, que le permite a la empresa poder coordinar sus esfuerzos de seguridad con mayor efectividad. ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o p equeña.
Introducción.
organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como la ISO 9001, ISO 14001 y 18001 La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa, británica o no, un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión. En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.
Tanto las personas como las empresas gestionamos información de modo inteligente y variado. La llegada de la computación, Internet y de los dispositivos móviles posibilita el mercadeo de nuevos productos y servicios. Teniendo en cuenta la importancia de activo que tiene la información en una empresa se hace necesario tener como primer objetivo la seguridad y organización de esta información; y para esto se hace necesario la implantación de sistemas que aborden esta tarea de forma metodica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que esta sometida la información de la organización. Una forma eficaz de controlar la forma en que se maneja la información dentro de una organización, es sujetarse a estandares preestablecidos, que ademas de ser probados, brindan un nivel de seguridad no solo a los miembros de la organización, sino también a los clientes. En este caso, la familia de estandares que nos ayudan con la administracion de la seguridad de la informacion es la ISO 27000, que a evolucionado de otras normas mas primitivas hasta convertirse en uno de los estandares mas difundifos actualmente.
HISTORIA Y EVOLUCIÓN. {1} La estandarización Internacional comenzó en el campo electrotécnico: la Comisión Electrotécnica Internacional (IEC) fue establecida en 1906. Iniciando el trabajo en otros campos fue realizado por la Federación Internacional de la Organización Estandarizadora Nacional (ISA), que fue instalada en 1926. El énfasis dentro de ISA fue puesto pesadamente en la ingeniería industrial. Las actividades de ISA acabaron en 1942. En 1946, delegados de 25 países se reunieron en Londres y decidieron crear una nueva organización internacional, de la cual el objeto sería "facilitar la coordinación y la unificación internacional de estándares industriales". La nueva organización, ISO, comenzó oficialmente operaciones el 23 de febrero de 1947. Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la
FAMILIA ISO 27000 A diferencia de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044. A continuación se detalla cada uno de los miembros de esta familia de estandares:
ISO/IEC 27000: Publicada el 1 de Mayo de 2009. Esta norma proporciona una visión general de las normas que 1
componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción del proceso Plan-Do-Check-Act y términos y definiciones que se emplean en toda la serie 27000. ISO/IEC 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. A pesar de no ser obligatoria la implementación de todos los controles, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Actualmente, este estándar se encuentra en periodo de revisión en el subcomité ISO SC27, con fecha prevista de publicación en 2012.
EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.
ISO/IEC 27007: En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.
ISO/IEC 27008: En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI.
ISO/IEC 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Actualmente, este estándar se encuentra en periodo de revisión en el subcomité ISO SC27, con fecha prevista de publicación en 2012.
ISO/IEC 27010: En fase de desarrollo, con publicación prevista en 2013. Es una norma en 2 partes, que consistirá en una guía para la gestión de la seguridad de la información en comunicaciones inter-sectoriales.
ISO/IEC 27011: Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002.
ISO/IEC 27003: Publicada el 01 de Febrero de 2010.
ISO/IEC 27012: En fase de desarrollo, con publicación
No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo a ISO/IEC 27001:2005. Describe el proceso de especificación y diseño desde la concepción hasta la puesta en marcha de planes de implementación, así como el proceso de obtención de aprobación por la dirección para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.
prevista en 2013. Consistirá en un conjunto de requisitos (complementarios a ISO/IEC 27001) y directrices (complementarias a ISO/IEC 27002) de gestión de seguridad de la información en organizaciones que proporcionen servicios de e-Administración.
ISO/IEC 27013: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de implementación integrada de ISO/IEC 27001 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI).
ISO/IEC 27004: Publicada el 7 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001.
ISO/IEC 27014: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de gobierno corporativo de la seguridad de la información.
ISO/IEC 27015: En fase de desarrollo, con publicación
ISO/IEC 27005: Publicada el 4 de Junio de 2008. No
prevista en 2013. Consistirá en una guía de SGSI para organizaciones del sector financiero y de seguros.
certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. Su publicación revisa y retira las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000.
ISO/IEC 27031: En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones. ISO/IEC 27032: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía relativa a la ciberseguridad. IEC 27033: Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales; 27033-2, directrices de diseño e implementación de seguridad en redes; 27033-3,
ISO/IEC 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de 2
escenarios de redes de referencia; 27033 -4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs; 27033-6, convergencia IP; 27033-7, redes inalámbricas.
Los estándares ISO17799 y ISO 27000 son un conjunto de estándares desarrollados, o en fase de desarrollo, que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña, mientras que COBIT es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez, Por lo que notamos una estrecha relación entre ISO y COBIT, pues COBIT se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) que incorpora aspectos fundamentales de otros estándares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por COBIT están más cerca de adaptarse y lograr la certificación en ISO 27001. En conclusión ISO17799 y ISO 27000 y COBIT van de la mano pues ambos velan por la buena gestión de la información de de las organizaciones.
prevista en 2013. Consistirá en una guía de gestión de incidentes de seguridad de la información.
ISO/IEC 27036: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de seguridad de outsourcing (externalización de servicios).
ISO/IEC 27037: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de identificación, recopilación y preservación de evidencias digitales.
ISO 27799: Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes.
PRINCIPALES BENEFICIOS DE LA ISO 27000.{3} Aunque pueden parecer muy obvios se hace necesario identificarlos para la toma de decisiones:
y
COBIT, ISO17799 e ISO 27000 {2}
ISO/IEC 27035: En fase de desarrollo, con publicación
Lograremos aumentar la motivación satisfacción de nuestro personal.
CONCLUSIONES.
Establece una metodología de gestión de la seguridad más clara y estructurada. Reduce el riesgo de pérdida, robo o corrupción de nuestra información. Permite a los clientes tener acceso a la información pero a través de medidas de seguridad. Identifica los riesgos existentes y establece controles de los mismos que son revisados continuamente. Genera confianza en los clientes y socios estratégicos garantizando calidad y confidencialidad comercial. Programa auditorías internas y externas que ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar. Se integra con otros sistemas de gestión (ISO9001, ISO14001, OHSAS…). Presenta un Plan de Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Garantiza la Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras. Mejora la imagen de la empresa a nivel internacional y se convierte en un elemento diferenciador de cara a nuestra competencia. Proporciona confianza y presenta reglas claras a las personas de la organización. Con la puesta en marcha los costes se reducirán considerablemente y se mejora los procesos internos y los servicios ofrecidos a nuestros clientes.
Una vez conocidos las principales caracterisitcas de la familia ISO 27000, se pueden plantear las siguientes conclusiones:
3
Es claro que al aplicar en una organización un estándar como ISO 27000 el trabajo con estos estándares debe ser continuo, pues ISO año tras año publica nuevas modificaciones a estos estándares, para así asegurar una correcta gestión de la información de las organizaciones, por lo tanto se debe estar muy pendiente de todas estas nuevas publicaciones para no poner en riesgo la información de la organización. Algo que no se debe olvidar es que los estándares ISO 27000 son aplicables a cualquier tipo de organización, independientemente de la magnitud que sea, si es grande este estándar tiene todo el nivel de de detalle que se necesita y se es pequeña, ISO 27000 nos permite Sacar adelante un verdadero SGSI. La certificación debe ser el objetivo ideal, ya que asegura un mejor enfoque, un objetivo más claro y palpable y por lo tanto, mejores opciones de éxito para la organización. Es importante recordad que la familia de normas ISO 27000 van de la mano de otros marcos de trabajo, como COBIT e ITIL, ya que ambos buscan que el manejo de la seguridad de la información pase
de ser improvisedo a seguir políticas y procesos claros y bien definidos.
Referencias. {1}AuditoriasAUC; http://auditoriauc20102mivi.wikispaces.com/file/view/IS O201091700623026-.pdf; ISO serio 27000 y 17799; 2010 {2}Universidad del Valle Mexico; http://www.tlalpan.uvmnet.edu/oiid/download/ISO%2027 000_04_PO_ISC_PIT_E.pdf; Manual de Normas y Politicas de seguridad informática; 2009 {3}Bureau Veritas España; http://www.bureauveritas.es/wps/wcm/connect/bv_es/loca l/home/news/noticias+2011++cer+newsletter+iso+27001?presentationtemplate=bv_ma ster_v2/news_full_story_presentation_v2, ISO 27000; 2011
4