•
Sistema de Gestión de la Seguridad de la Información El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001. La ges gestió tión n de la seg seguri uridad dad de la inf inform ormaci ación ón deb debe e rea realiz lizars arse e med median iante te un proceso sistemático, documentado y conocido por toda la organización. Este Es te pro proces ceso o es el que con consti stituy tuye e un SGS SGSI, I, que podría podría con consid sidera erars rse, e, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información. Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los ries ri esgo gos s de la se segu guri rida dad d
de la in info form rmac ació ión n se sean an co cono noci cido dos, s, as asum umid idos os,,
gestionado gesti onados s y minim minimizados izados por la organ organizació ización n de una forma docu documenta mentada, da, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. En las siguientes secciones (a las que puede acceder directamente a través del submenú de la izquierda o siguiendo los marcadores de final de página) se desarrollarán los conceptos fundamentales de un SGSI según la norma ISO 27001.
•
¿Qué es un SGSI? SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System. En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su
origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.
La seguridad de la infor informació mación, n, según ISO 27001, consiste consiste en la prese preservaci rvación ón de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información: • Con Confid fidenc enciali ialidad dad:: la inf inform ormaci ación ón no se pon pone e a dis dispos posici ición ón ni se rev revela ela a individuos, entidades o procesos no autorizados.
origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.
La seguridad de la infor informació mación, n, según ISO 27001, consiste consiste en la prese preservaci rvación ón de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información: • Con Confid fidenc enciali ialidad dad:: la inf inform ormaci ación ón no se pon pone e a dis dispos posici ición ón ni se rev revela ela a individuos, entidades o procesos no autorizados.
• Integ Integridad: ridad: mantenimient mantenimiento o de la exact exactitud itud y compl completitu etitud d de la infor informació mación n y sus métodos de proceso. • Dis Dispon ponibi ibilida lidad: d: acc acceso eso y uti utiliz lizaci ación ón de la inf inform ormaci ación ón y los sis sistem temas as de tratam tra tamien iento to de la mis misma ma por parte de los ind indivi ividuo duos, s, ent entida idades des o pro proces cesos os autorizados cuando lo requieran. Par ara a
garran ga anti tiza zarr
que qu e
la
seg egu uri rida dad d
de
la
info in form rmac ació ión n
es
ges esti tion onad ada a
correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.
•
¿Para qué sirve un SGSI? La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y dispon dis ponibi ibilid lidad ad de inf inform ormaci ación ón sen sensib sible le pue pueden den lle llegar gar a ser ese esenc ncial iales es par para a manten man tener er los niv niveles eles de com compet petiti itivid vidad, ad, ren rentab tabilid ilidad, ad, con confor formid midad ad leg legal al e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos. Las organizaciones y sus sistemas de información están expuestos a un número cada cad a vez más elev elevado ado de ame amenaz nazas as que que,, apr aprove ovecha chando ndo cu cualq alquie uiera ra de las vulnerabilidades existentes, pueden someter a activos críticos de información a dive di vers rsas as fo form rmas as de fr frau aude de,, es espi pion onaj aje, e, sa sabo bota taje je o va vand ndali alism smo. o. Lo Los s vi viru rus s informáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos. El cu cump mpli limi mien ento to de la le lega gali lida dad, d, la ad adap apta taci ción ón di diná námi mica ca y pu punt ntua uall a la las s condiciones variables del entorno, la protección adecuada de los objetivos de negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones.
El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda tod a la org organi anizac zación ión,, co con n la ger gerenc encia ia al fre frente nte,, tom tomand ando o en con consid sidera eració ción n también a clientes y proveedores de bienes y servicios. El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos. El Sis Sistem tema a de Ges Gestió tión n de la Seg Seguri uridad dad de la Inf Inform ormaci ación ón (S (SGSI GSI)) ayu ayuda da a estab es tablec lecer er est estas as pol políti íticas cas y pr proce ocedim dimien ientos tos en rel relaci ación ón a los obj objeti etivos vos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.
Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.
•
¿Qué incluye un SGSI? En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado gráficamente la documentación del sistema como una pirámide de cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la Información basado en ISO 27001 de la siguiente forma:
Documentos de Nivel 1
Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.
Documentos de Nivel 2 Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información.
Documentos de Nivel 3 Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.
Documentos de Nivel 4 Registros:
documentos
que
proporcionan
una
evidencia
objetiva
del
cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos. De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio): • Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de influencia del SGSI considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas). • Política y objetivos de seguridad: documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información. • Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI.
• Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo
se
realizará
la
evaluación
de
las
amenazas,
vulnerabilidades,
probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables. • Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización. • Plan de tratamiento de riesgos: documento que identifica las acciones de la dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc. • Procedimientos documentados: todos los necesarios para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados. • Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. • Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.
Control de la documentación Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento que defina las acciones de gestión necesarias para: • Aprobar documentos apropiados antes de su e misión. • Revisar y actualizar documentos cuando sea necesario y renovar su validez. • Garantizar que los cambios y el estado actual de revisión de los documentos están identificados.
• Garantizar que las versiones relevantes de documentos vigentes están disponibles en los lugares de empleo. •
Garantizar que
los
documentos se
mantienen
legibles y
fácilmente
identificables.> • Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los procedimientos aplicables según su clasificación. • Garantizar que los documentos procedentes del e xterior están identificados. • Garantizar que la distribución de documentos está controlada. • Prevenir la utilización de documentos obsoletos. • Aplicar la identificación apropiada a documentos que son retenidos con algún propósito.
•
¿Cómo se implementa un SGSI? Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.
Plan (planificar): establecer el SGSI. Do (hacer): implementar y utilizar el SGSI. Check (verificar): monitorizar y revisar el SGSI. Act (actuar): mantener y mejorar el SGSI. Plan: Establecer el SGSI
Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión. Definir una política de seguridad que: – incluya el marco general y los objetivos de seguridad de la información de la organización; – considere requerimientos legales o contractuales relativos a la seguridad de la información; – esté alineada con el contexto estratégico de gestión de riesgos de la organización en el que se establecerá y mantendrá el SGSI; – establezca los criterios con los que se va a evaluar el riesgo; – esté aprobada por la dirección. Definir una metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio, además de establecer los criterios de aceptación del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodología es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologías estandarizadas para la evaluación de riesgos, aunque es perfectamente aceptable definir una propia). Identificar los riesgos: – identificar los activos que están dentro del alcance del SGSI y a sus responsables directos, denominados propietarios; – identificar las amenazas en relación a los activos; – identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas; – identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos. Analizar y evaluar los riesgos:
- evaluar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información; – evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estén implementados; – estimar los niveles de riesgo; – determinar, según los criterios de aceptación de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado. Identificar y evaluar las distintas opciones de tratamiento de los riesgos para: – aplicar controles adecuados; – aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y criterios establecidos para la aceptación de los riesgos; – evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan; – transferir el riesgo a terceros, p. ej., compañías aseguradoras o proveedores de outsourcing.
Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluación del riesgo. Aprobar por parte de la dirección tanto los riesgos residuales como la implantación y uso del SGSI. Definir una declaración de aplicabilidad que incluya: – los objetivos de control y controles seleccionados y los motivos para su elección;
- los objetivos de control y controles que actualmente ya están implantados; – los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusión; este es un mecanismo que permite, además, detectar posibles omisiones involuntarias. En relación a los controles de seguridad, el estándar ISO 27002 (antigua ISO 17799) proporciona una completa guía de implantación que contiene 133
controles, según 39 objetivos de control agrupados en 11 dominios. Esta norma es referenciada en ISO 27001, en su segunda cláusula, en términos de “documento indispensable para la aplicación de este documento” y deja abierta la posibilidad de incluir controles adicionales en el caso de que la guía no contemplase todas las necesidades particulares.
Do: Implementar y utilizar el SGSI • Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información. • Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignación de recursos, responsabilidades y prioridades. • Implementar los controles anteriormente seleccionados que lleven a los objetivos de control. • Definir un sistema de métricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles. • Procurar programas de formación y concienciación en relación a la seguridad de la información a todo el personal. • Gestionar las operaciones del SGSI. • Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la información. • Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad.
Check: Monitorizar y revisar el SGSI La organización deberá: • Ejecutar procedimientos de monitorización y revisión para: – detectar a tiempo los errores en los resultados generados por el procesamiento de la información; – identificar brechas e incidentes de seguridad; – ayudar a la dirección a determinar si las actividades desarrolladas por las personas y dispositivos tecnológicos para garantizar la seguridad de la información se desarrollan en relación a lo previsto; – detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores; – determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas. • Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la política y objetivos del SGSI, los resultados de auditorías de seguridad, incidentes,
resultados
de
las
mediciones
de
eficacia,
sugerencias
y
observaciones de todas las partes implicadas. • Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad. • Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organización, la tecnología, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc.-. •
Realizar
planificados.
periódicamente
auditorías
internas
del
SGSI
en
intervalos
• Revisar el SGSI por parte de la dirección periódicamente para garantizar que el alcance definido sigue siendo el adecuado y que la s mejoras en el proceso del SGSI son evidentes. • Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorización y revisión. • Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.
Act: Mantener y mejorar el SGSI La organización deberá regularmente: • Implantar en el SGSI las mejoras identificadas. • Realizar las acciones preventivas y correctivas adecuadas en relación a la claúsula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones. • Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder. • Asegurarse que las mejoras introducidas alcanzan los objetivos previstos. PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Téngase en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber actividades de implantación que ya se lleven a cabo cuando otras de planificación aún no han finalizado; o que se monitoricen controles que aún no están implantados en su totalidad.
•
¿Qué tareas tiene la Gerencia en un SGSI? Uno de los componentes primordiales en la implantación exitosa de un Sistema de Gestión de Seguridad de la Información es la implicación de la dirección. No se trata de una expresión retórica, sino que debe asumirse desde un principio que un SGSI afecta fundamentalmente a la gestión del negocio y requiere, por tanto, de decisiones y acciones que sólo puede tomar la gerencia de la organización. No se debe caer en el error de considerar un SGSI una mera
cuestión técnica o tecnológica relegada a niveles inferiores del organigrama; se están gestionando riesgos e impactos de negocio que son responsabilidad y decisión de la dirección. El término Dirección debe contemplarse siempre desde el punto de vista del alcance del SGSI. Es decir, se refiere al nivel más alto de gerencia de la parte de la organización afectada por el SGSI (recuérdese que el alcance no tiene por qué ser toda la organización). Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la dirección se detallan en los siguientes puntos:
Compromiso de la dirección La dirección de la organización debe comprometerse con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI. Para ello, debe tomar las siguientes iniciativas: • Establecer una política de seguridad de la información. • Asegurarse de que se establecen objetivos y planes del SGSI. • Establecer roles y responsabilidades de seguridad de la información. • Comunicar a la organización tanto la importancia de lograr los objetivos de seguridad de la información y de cumplir con la política de seguridad, como sus responsabilidades legales y la necesidad de mejora continua. • Asignar suficientes recursos al SGSI en todas sus fases. • Decidir los criterios de aceptación de riesgos y sus correspondientes niveles. • Asegurar que se realizan auditorías internas. • Realizar revisiones del SGSI, como se detalla más adelante.
Asignación de recursos
Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, es imprescindible la asignación de recursos. Es responsabilidad de la dirección garantizar que se asignan los suficientes para: • Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI. • Garantizar que los procedimientos de seguridad de la información apoyan los requerimientos de negocio. • Identificar y tratar todos los requerimientos legales y normativos, así como las obligaciones contractuales de seguridad. • Aplicar correctamente todos los controles implementados, manteniendo de esa forma la seguridad adecuada. • Realizar revisiones cuando sea necesario y actuar adecuadamente según los resultados de las mismas. • Mejorar la eficacia del SGSI donde sea necesario.
Formación y concienciación La formación y la concienciación en seguridad de la información son elementos básicos para el éxito de un SGSI. Por ello, la dirección debe asegurar que todo el personal de la organización al que se le asignen responsabilidades definidas en el SGSI esté suficientemente capacitado. Se deberá: • Determinar las competencias necesarias para el personal que realiza tareas en aplicación del SGSI. • Satisfacer dichas necesidades por medio de formación o de otras acciones como, p. ej., contratación de personal ya formado. • Evaluar la eficacia de las acciones realizadas. • Mantener registros de estudios, formación, habilidades, experiencia y cualificación.
Además, la dirección debe asegurar que todo el personal relevante esté concienciado de la importancia de sus actividades de seguridad de la información y de cómo contribuye a la consecución de los objetivos del SGSI.
Revisión del SGSI A la dirección de la organización se le asigna también la tarea de, al menos una vez al año, revisar el SGSI, para asegurar que continúe siendo adecuado y eficaz. Para ello, debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que se pueden enumerar: • Resultados de auditorías y revisiones del SGSI. • Observaciones de todas las partes interesadas. • Técnicas, productos o procedimientos que pudieran ser útiles para mejorar el rendimiento y eficacia del SGSI. • Información sobre el estado de acciones preventivas y correctivas. • Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos anteriores. • Resultados de las mediciones de eficacia. • Estado de las acciones iniciadas a raíz de revisiones anteriores de la dirección. • Cualquier cambio que pueda afectar al SGSI. • Recomendaciones de mejora. Basándose en todas estas informaciones, la dirección debe revisar el SGSI y tomar decisiones y acciones relativas a: • Mejora de la eficacia del SGSI. • Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos. • Modificación de los procedimientos y controles que afecten a la seguridad de la información, en respuesta a cambios internos o externos en los requisitos de negocio, requerimientos de seguridad, procesos de negocio, marco legal,
obligaciones contractuales, niveles de riesgo y criterios de aceptación de riesgos. • Necesidades de recursos. • Mejora de la forma de medir la efectividad de los controles
•
¿Se integra un SGSI con otros sistemas de gestión? Un SGSI es, en primera instancia, un sistema de gestión, es decir, una herramienta de la que dispone la gerencia para dirigir y controlar un determinado ámbito, en este caso, la seguridad de la información. La gestión de las actividades de las organizaciones se realiza, cada vez con más frecuencia, según sistemas de gestión basados en estándares internacionales: se gestiona la calidad según ISO 9001, el impacto medio-ambiental según ISO 14001 o la prevención de riesgos laborales según OHSAS 18001. Ahora, se añade ISO 27001 como estándar de gestión de seguridad de la información. Las empresas tienen la posibilidad de implantar un número variable de estos sistemas de gestión para mejorar la organización y beneficios sin imponer una carga a la organización. El objetivo último debería ser llegar a un único sistema de gestión que contemple todos los aspectos necesarios para la organización, basándose en el ciclo PDCA de mejora continua común a todos estos estándares. Las facilidades para la integración de las normas ISO son evidentes mediante la consulta de sus anexos. ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre esta norma y la ISO 9001 e ISO 14001. Ahí se observa la alta correlación existente y se puede intuir la posibilidad de integrar el sistema de gestión de seguridad de la información en los sistemas de gestión existentes ya en la organización. Algunos puntos que suponen una novedad en ISO 27001 frente a otros estándares son la evaluación de riesgos y el establecimiento de una declaración de aplicabilidad (SOA), aunque ya se plantea incorporar éstos al resto de normas en un futuro.
También existe la especificación pública PAS 99 como marco de referencia para una integración de sistemas y es la primera especificación de requisitos del mundo para sistemas de gestión integrada que se basa en los seis requisitos comunes de la guía ISO 72 (una norma para redactar normas para sistemas de gestión). Entre las diferentes normas que se pueden utilizar con PAS 99 (dos o varias) dentro de un sistema de gestión integrada típico pueden incluirse ISO 9001 (Gestión de la calidad), ISO 14001 (Gestión medioambiental), OHSAS 18001 (Salud y
seguridad
en el trabajo),
ISO/IEC
27001
(Seguridad de la
información), ISO 22000 (Inocuidad de los alimentos seguridad alimentaria), ISO/IEC 20000 (Gestión de servicios de TI), entre otros sistemas de gestión basados en un ciclo Deming "Plan-Do-Check-Act" de mejora contínua. En nuestras secciones de Faqs y de Artículos podrá encontrar más informaciones acerca de la integración del SGSI con otros sistemas de gestión.
•
ISO 27000 La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001.
Acceda directamente a las secciones de su interés a través del submenú de la izquierda o siguiendo los marcadores de final de página.
•
Origen Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como: 1979. Publicación BS 5750 - ahora ISO 9001 1992. Publicación BS 7750 - ahora ISO 14001 1996. Publicación BS 8800 - ahora OHSAS 18001 La norma BS 7799 de BSI apareció por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se establecía un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. En 2005, con más de 1700 empresas certificadas en BS 7799-2, este esquema se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO 17799. Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.
En Marzo de 2006, posteriormente a la publicación de ISO 27001:2005, BSI publicó la BS 7799-3:2006, centrada en la gestión del riesgo de los sistemas de información. Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie. En la sección de Artículos y Podcasts encontrará un archivo gráfico y sonoro con la historia de ISO 27001 e ISO 17799.
•
La serie 27000 A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044. Las normas que incluye son (toda la información disponible públicamente sobre el desarrollo de las normas de la serie 27000 puede consultarse en la página web del subcomité JTC1/SC27 ):
• ISO/IEC 27000: Publicada el 1 de Mayo de 2009. Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción del proceso Plan-Do-Check-Act y términos y definiciones que se emplean en toda la serie 27000. En España, esta norma aún no está traducida. El original en inglés y su traducción al francés pueden descargarse gratuitamente de standards.iso.org/ittf/PubliclyAvailableStandards.
• ISO/IEC 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR (también en lengua gallega). En 2009, se publicó un documento adicional de modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros países donde también está publicada en español son, por ejemplo, Colombia (NTCISO-IEC 27001), Venezuela (Fondonorma ISO/IEC 27001), Argentina (IRAMISO IEC 27001), Chile (NCh-ISO27001) o México (NMX-I-041/02-NYCE). El original en inglés y la traducción al francés pueden adquirirse en iso.org. Actualmente, este estándar se encuentra en periodo de revisión en el subcomité ISO SC27, con fecha prevista de publicación en 2012.
• ISO/IEC 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Publicada en España como UNE-ISO/IEC
27002:2009 desde el 9 de Diciembre de 2009 (a la venta en AENOR ). Otros países donde también está publicada en español son, por ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002) o Perú (como ISO 17799; descarga gratuita). El original en inglés y su traducción al francés pueden adquirirse en iso.org. Actualmente, este estándar se encuentra en periodo de revisión en el subcomité ISO SC27, con fecha prevista de publicación en 2012.
• ISO/IEC 27003: Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificación y diseño desde la concepción hasta la puesta en marcha de planes de implementación, así como el proceso de obtención de aprobación por la dirección para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en iso.org.
• ISO/IEC 27004: Publicada el 7 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en iso.org
• ISO/IEC 27005: Publicada el 4 de Junio de 2008. No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. Su publicación revisa y retira las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000. El original en inglés puede adquirirse en iso.org. En España, esta norma aún no está traducida, sin embargo, sí lo está en países como México (NMX-I-041/05-NYCE), Chile (NChISO27005) o Colombia (NTC-ISO-IEC 27005).
• ISO/IEC 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma. El original en
inglés puede adquirirse en iso.org. En España, esta norma aún no está traducida, sin embargo, sí lo está en México (NMX-I-041/06-NYCE).
• ISO/IEC 27007: En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.
• ISO/IEC 27008: En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI.
• ISO/IEC 27010: En fase de desarrollo, con publicación prevista en 2012. Es una norma en 2 partes, que consistirá en una guía para la gestión de la seguridad de la información en comunicaciones inter-sectoriales.
• ISO/IEC 27011: Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Está publicada también como norma ITU-T X.1051. En España, aún no está traducida. El original en inglés puede adquirirse en iso.org.
• ISO/IEC 27012: En fase de desarrollo, con publicación prevista en 2011. Consistirá en un conjunto de requisitos (complementarios a ISO/IEC 27001) y directrices (complementarias a ISO/IEC 27002) de gestión de seguridad de la información en organizaciones que proporcionen servicios de e-Administración.
• ISO/IEC 27013: En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de implementación integrada de ISO/IEC 27001 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI).
• ISO/IEC 27014: En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de gobierno corporativo de la seguridad de la información.
• ISO/IEC 27015: En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de SGSI para organizaciones del sector financiero y de seguros.
• ISO/IEC 27031: En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.
• ISO/IEC 27032: En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía relativa a la ciberseguridad.
• ISO/IEC 27033: Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 10 de Diciembre de 2009 y disponible en iso.org); 27033-2, directrices de diseño e implementación de seguridad en redes (prevista para 2011); 27033-3, escenarios de redes de referencia (prevista para 2011); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad (prevista para 2012); 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2012); 270336, convergencia IP (prevista para 2012); 27033-7, redes inalámbricas (prevista para 2012).
• ISO/IEC 27034: En fase de desarrollo, con publicación prevista en 2010. Consistirá en una guía de seguridad en aplicaciones informáticas.
• ISO/IEC 27035: En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de gestión de incidentes de seguridad de la información.
• ISO/IEC 27036: En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de seguridad de outsourcing (externalización de servicios).
• ISO/IEC 27037: En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de identificación, recopilación y preservación de evidencias digitales.
• ISO 27799: Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el
subcomité JTC1/SC27, sino el comité técnico TC 215. El original en inglés o francés puede adquirirse en iso.org. Desde el 20 de Enero de 2010, esta norma está publicada en España como UNE-ISO/IEC 27799:2010 y puede adquirirse online en AENOR
•
Contenido En esta sección se hace un breve resumen del contenido de las normas de la serie 27000 ya publicadas. Si desea acceder a las normas completas, debe saber que éstas no son de libre difusión sino que han de ser adquiridas. Para los originales en inglés, puede hacerlo online en la tienda virtual de la propia organización: iso.org Las normas en español pueden adquirirse en España en AENOR (vea en la sección Serie 27000 cuáles están ya traducidas) Las entidades de normalización responsables de la publicación y venta de normas en cada país hispanoamericano (es decir, las homólogas del AENOR español) las puede encontrar listadas en nuestra sección de "Enlaces", bajo
"Acreditación y Normalización". ISO 27000:2009 0 Introduction 1 Scope 2 Terms and definitions 3
Information
security
management
3.1
Introduction
3.2
What
is
3.3
an
Process
3.4
Why
3.5
Establishing,
3.6
systems
ISMS
an monitoring,
ISMS approach
ISMS maintaining critical
3.7 Benefits of the ISMS family of standards
is and
improving
sucess
important an
ISMS factors
4
ISMS
family
4.1 4.2
of
standards
General Standards
4.3
describing
information
an
overview
Standards
4.4
and
terminology
specifying
Standards
describing
requirements general
guidelines
4.5 Standards describing sector-specific guideliness
Annex A (informative) Verbal forms for the expression of provision Annex B (informative) Categorized terms Bibliography ISO 27001:2005 0
Intr In trod oduc ucci ción ón::
generalidad ade es
e
introducción
al
método
0.1
PDCA.
Generalidades
0.2
Enfoque
por
proceso
0.3 Compatibilidad con otros sistemas de gestión
1 Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento
de
exclusiones.
1.1
Generalidades
1.2 Aplicación
2 Normas para consulta: otras normas que sirven de referencia. 3 Términos y definiciones: breve descripción de los términos más usados en la norma.
4 Sistema de gestión de la seguridad de la información: cómo crear, impl im plem emen enta tar, r, op oper erar ar,, su supe perv rvis isar ar,, re revi visa sar, r, ma mant nten ener er y me mejo jora rarr el SG SGSI SI;; requisitos
de
documentación
4.1 Creación
-
de
la
4.2.2 4.2.3
-
4.2.4
gestión Creación
Implementación Supervisión Mantenimiento Requisitos
misma. generales
y
4.2.1
4.3
control
Requisitos
4.2 -
y
del
SGSI
d el
y
operación
y
revisión y
mejora de
SGSI del
SGSI
d el
SGSI
del
SGSI
documentación
-4.3.1
Generalidades
-4.3.2
Control
de
documentos
-4.3.3 Control de registros
5 Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación del personal. 5.1
Compromiso
5.2 -
de
Gestión 5.2.1
de Provisión
la
dirección
los
recursos
de
los
recursos
- 5.2.2 Concienciación, formación y competencia
6 Auditorías internas del SGSI: cómo realizar las audit auditorías orías internas de control y cumplimiento.
7 Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de revisión
d el
SGSI
por
parte
de
la
7.1 7.2
dirección. Generalidades
Datos
iniciales
de
la
revisión
7.3 Resultados de la revisión
8 Me Mejo jora ra de dell SG SGSI SI:: mej mejora ora con contin tinua, ua, acc accion iones es co corre rrecti ctivas vas y acc accion iones es preventivas. 8.1
Mejora
8.2
Acción
continua correctiva
8.3 Acción preventiva
Anexo A: (normativo) Objetivos de control y controles - anexo normativo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 27002:2005.
Anex An exo o B: (i (inf nfor orma mativ tivo) o) Re Rela laci ción ón co con n lo los s Pr Prin inci cipio pios s de la OC OCDE DE co con n la correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE.
Anexo C: (informativo) Correspondencia con otras normas mediante una tabla de correspondencia de cláusulas con ISO 9001 e ISO 14001.
Bibliografía: normas y publicaciones de referencia.
ISO 27002:2005 (anterior ISO 17799:2005) 0 Introducción: conceptos generales de seguridad de la información y SGSI. 1 Campo de aplicación: se especifica el objetivo de la norma. 2 Términos y definiciones: breve descripción de los términos más usados en la norma.
3 Estructura del estándar: descripción de la estructura de la norma. 4 Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la información.
5 Política de seguridad: documento de política de seguridad y su gestión. 6 Aspectos organizativos de la seguridad de la información: organización interna; terceros.
7 Gestión de activos: responsabilidad sobre los activos; clasificación de la información.
8 Seguridad ligada a los recursos humanos: antes del empleo; durante el empleo; cese del empleo o cambio de puesto de trabajo.
9 Seguridad física y ambiental: áreas seguras; seguridad de los equipos. 10 Ge Gest stió ión n de co comu muni nica caci cion ones es y op oper erac acio ione nes: s: resp responsab onsabilidad ilidades es y procedimientos de operación; gestión de la provisión de servicios por terceros; planificac plani ficación ión y acept aceptación ación del sist sistema; ema; protección protección cont contra ra códig código o malic malicioso ioso y descar des cargab gable; le; cop copias ias de seg seguri uridad dad;; ges gestió tión n de la se segur gurida idad d de las red redes; es; mani ma nipu pula laci ción ón de lo los s so sopo port rtes es;; in inte terc rcam ambi bio o de in info form rmac ació ión; n; se serv rvic icio ios s de comercio electrónico; supervisión.
11 Control de acceso: requisitos de negocio para el control de acceso; gestión de acceso de usuario; responsabilidades de usuario; control de acceso a la red; control de acceso al sistema operativo; control de acceso a las aplicaciones y a la información; ordenadores portátiles y teletrabajo.
12 Ad Adqu quis isic ició ión, n, de desa sarr rrol ollo lo y mant manten enim imie ient nto o de lo loss sist sistem emas as de info in form rmac ació ión: n:<0 <0b> b> re requ quis isit itos os de segu seguri rida dad d de los los si sist stem emas as de
inform info rmac ació ión; n; tr trat atam amie ient nto o co corr rrec ecto to de la lass ap apli lica caci cion ones es;; co cont ntro role less criptográficos; seguridad de los archivos de sistema; seguridad en los procesos de desarrollo y soporte; gestión de la vulnerabilidad técnica. 13 Gestión de incidentes de seguridad de la información: notificación de even ev ento tos s y pu punt ntos os dé débi bile les s de la se segu guri rida dad d de la in info form rmac ació ión; n; ge gest stió ión n de incidentes de seguridad de la información y mejoras.
14 Gestión de la continuidad del negocio: aspectos de la seguridad de la información en la gestión de la continuidad del negocio.
15 Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las políticas y normas de seguridad y cumplimiento técnico; consideraciones sobre las auditorías de los sistemas de información.
Bibliografía: normas y publicaciones de referencia. Índice Puede descargarse una lista de todos los controles que contiene esta norma
http://www.iso27000.es/dow .iso27000.es/download/Controles nload/ControlesISO27002-20 ISO27002-2005.pdf 05.pdf aquí: http://www ISO 27003:2010 1 2 3 Terms and definitions 4
Structure
4.1
Normative
of
General
4.2
Foreword Introduction Scope references
this
International
structure
General
structure
Standard
of of
clauses a
clause
4.3 Diagrams
5 Ob Obta tain inin ing g ma mana nage geme ment nt ap appr prov oval al fo forr in init itia iati ting ng an IS ISMS MS pr proj ojec ectt 5.1 Overview of obtaining management approval for initiating an ISMS project 5.2 5.3
Clarify
the
Define
organization’s the
priorities preliminary
to
develop ISMS
an
ISMS scope
5.4 Create the business case and the project plan for management approval
6
Defining
6.1
Overview
6.2
ISMS of
scope,
defining
Define
boundaries
ISMS
scope,
organizational
and
boundaries
scope
ISMS and
policy
ISMS
and
policy
boundaries
6.3 Define information communication technology (ICT) scope and boundaries 6.4
Define
physical
scope
and
boundaries
6.5 Integrate each scope and boundaries to obtain the ISMS scope and boundaries 6.6 Develop the ISMS policy and obtain approval from management
7
Conducting
7.1
Overview of conducting
7.2
Define
7.3
information
information
Identify
security
information
security
assets
requirements
analysis
security requirements analysis
requirements within
for
the
the
ISMS
ISMS
process scope
7.4 Conduct an information security assessment
8
Conducting
risk
assessment
and
planning
risk
treatment
8.1 Overview of conducting risk assessment and planning risk treatment 8.2 8.3
Conduct Select
risk
the
control
assessment
objectives
and
controls
8.4 Obtain management authorization for implementing and operating an ISMS
9
Designing
9.1
Overview
9.2
Design
9.3 9.4
Design Design
the
of
designing
organizational ICT
and ISMS
physical specific
ISMS the
information information information
ISMS security security security
9.5 Produce the final ISMS project plan
Annex A (informative) Checklist description Annex B (informative) Roles and responsibilities for Information Security Annex C (informative) Information about Infernal Auditing Annex D (informative) Structure of policies Annex E (informative) Monitoring and measuring Bibliography ISO 27004:2009
0
Introduction
0.1
General
0.2 Management overview
1 Scope 2 Normative references 3 Terms and definitions 4 Structure of this International Standard 5
Information
5.1
Objectives
5.2
security of
information
Information
Security
5.3
overview
security
measurement
Measurement
Programme
Success
5.4
Information
factors
security
-
measurement
model
5.4.1
-
5.4.2
Base
-
5.4.3
Derived
-
measurement
5.4.4
Overview
measure
and
measure
and
Indicators
measurement
method
measurement
function
and
analytical
model
- 5.4.5 Measurement results and decision criteria
6
Management
responsibilities
6.1
Overview
6.2
Resource
management
6.3 Measurement training, awareness, and competence
7
Measures
and
measurement
7.1
Overview
7.2
Definition
7.3
Identification
7.4 7.5
Object
of
measurement of
and
Measurement
-
development
information attribute construct
7.5.1 7.5.2
scope need selection development Overview
Measure
selection
-
7.5.3
Measurement
method
-
7.5.4
Measurement
function
Analytical
model
-
7.5.5 7.5.6
Indicators
-
7.5.7
Decision
-
criteria
7.5.8
7.6
Stakeholders
Measurement
7.7
Data
collection,
construct
analysis
and
reporting
7.8 Measurement implementation and documentation
8
Measurement
operation
8.1
Overview
8.2
Procedure
integration
8.3 Data collection, storage and verification
9
Data
analysis
and
measurement
results
9.1 9.2
reporting Overview
Analyse
data
and
develop
measurement
results
9.3 Communicate measurement results
10 Information Security Measurement Programme Evaluation and Improvement 10.1
Overview
10.2 Evaluation criteria identification for the Information Security Measurement Programme 10.3 Monitor, review, and evaluate the Information Security Measurement Programme 10.4 Implement improvements
Annex A (informative) measurement construct
Template
for
an
information
Annex B (informative) Measurement construct examples Bibliography ISO 27005:2008 Foreword 1 Scope 2 Normative references 3 Terms and definitions
security
4 Structure of this International Standard 5 Background 6 Overview of the information security risk management process 7
Context
7.1
establishment
General
7.2
considerations
Basic
7.3
The
criteria
scope
and
boundaries
7.4 Organization for information security risk management
8 8.1
Information General
security
description
of
8.2
risk
information
assessment
security
risk
assessment
Risk
-
analysis
8.2.1
-
Risk
8.2.2
identification
Risk
estimation
8.3 Risk evaluation
9
Information
9.1
General
security description
risk of
treatment
risk
treatment
9.2
Risk
reduction
9.3
Risk
retention
9.4
Risk
avoidance
9.5 Risk transfer
10 Information security risk acceptance 11 Information security risk communication 12
Information
12.1
security
Monitoring
risk
and
review
monitoring
and
of
risk
review factors
12.2 Risk management monitoring, reviewing and improving
Annex A (informative) Defining the scope and boundaries of the information security risk management process A.1 A.2
Study List
of
of the
constraints
the affecting
organization the
organization
A.3 List of the legislative and regulatory references applicable to the
organization A.4 List of the constraints affecting the scope
Annex B (informative) Identification and valuation of assets and impact assessment B.1 -
Examples B.1.1 B.1.2
of
The List
asset
identification and
of
primary
assets
of
supporting
assets
description
B.2
identification
Asset
valuation
B.3 Impact assessment
Annex C (informative) Examples of typical threats Annex D (informative) Vulnerabilities and methods for vulnerability assessment D.1
Examples
of
vulnerabilities
D.2 Methods for assessment of technical vulnerabilities
Annex E (informative) approaches E.1
High-level
E.2
Detailed
E.2.1 E.2.2
information information
Example Example
Information
1 2
Ranking
Matrix of
security
risk
security security with Threats
assessment
risk
assessment
risk
assessment
predefined by
Measures
values of
Risk
E.2.3 Example 3 Assessing a value for the likelihood and the possible consequences of risks
Annex F (informative) Constraints for risk reduction Bibliography ISO 27006:2007 (Esta norma referencia directamente a muchas cláusulas de ISO 17021 -requisitos de entidades de auditoría y certificación de sistemas de gestión-, por lo que es recomendable disponer también de dicha norma, que puede adquirirse en español en AENOR ).
Foreword: presentación de las organizaciones ISO e IEC y sus actividades.
Introduction: antecedentes de ISO 27006 y guía de uso para la norma. 1 Scope: a quién aplica este estándar. 2 Normative references: otras normas que sirven de referencia. 3 Terms and definitions: breve descripción de los términos más usados en la norma.
4 Principles: principios que rigen esta norma. 5 General requirements: aspectos generales que deben cumplir las entidades de
certificación
5.1
Legal
5.2
de and
SGSIs.
contractual
Management
matter
of
impartiality
5.3 Liability and financing
6 Structural requirements: estructura organizativa que deben tener las entidades 6.1
de
certificación
Organizational
structure
de
and
SGSIs.
top
management
6.2 Committee for safeguarding impartiality
7 Resource requirements: competencias requeridas para el personal de dirección, administración y auditoría de la entidad de certificación, así como para 7.1 7.2
auditores
externos,
Competence Personnel
expertos of
técnicos
externos
management
involved
in
y
subcontratas.
and
the
personnel
certification
activities
7.3 Use of individual external auditors and external technical experts 7.4
Personnel
records
7.5 Outsourcing
8
Information
requirements:
información
pública,
documentos
de
certificación, relación de clientes certificados, referencias a la certificación y marcas, confidencialidad e intercambio de información entre la entidad de certificación
y
8.1
Publicly
8.2 8.3 8.4
sus
clientes.
accessible
information
Certification Directory Reference
to
documents
of certification
certified and
use
clients of
marks
8.5
Confidentiality
8.6 Information exchange between a certification body and its clients
9 Process requirements: requisitos generales del proceso de certificación, auditoría inicial y certificación, auditorías de seguimiento, recertificación, auditorías especiales, suspensión, retirada o modificación de alcance de la certificación, apelaciones, reclamaciones y registros de solicitantes y clientes. 9.1
General
9.2
Initial
requirements
audit
9.3
and
certification
Surveillance
activities
9.4
Recertification
9.5
Special
9.6
Suspending,
withdrawing
or
audits reducing
scope
of
certification
9.7
Appeals
9.8
Complaints
9.9 Records of applicants and clients
10 Management system requirements for certification bodies: opciones, opción 1 (requisitos del sistema de gestión de acuerdo con ISO 9001) y opción 2
(requisitos
del
sistema
de
gestión
10.1
general). Options
10.2 Option 1 – Management system requirements in accordance with ISO 9001 10.3 Option 2 – General management system requirements
Annex A - Análisis de la complejidad de la organización de un cliente y aspectos específicos del sector: potencial de riesgo de la organización (tabla orientativa) y categorías de riesgo de la seguridad de la información específicas del sector de actividad.
Annex B - Áreas de ejemplo de competencia del auditor: consideraciones de
competencia
general
y
consideraciones
de
competencia
específica
(conocimiento de los controles del Anexo A de ISO 27001:2005 y conocimientos sobre SGSIs).
Annex c - Tiempos de auditoría: introducción, procedimiento para determinar la duración de la auditoría y tabla de tiempos de auditoría (incluyendo comparativa con tiempos de auditoría de sistemas de calidad -ISO 9001- y medioambientales -ISO 14001-).
Annex D - Guía para la revisión de controles implantados del Anexo A de ISO 27001:2005: tabla de apoyo para el auditor sobre cómo auditar los controles, sean organizativos o técnicos.
ISO 27011:2008 1 Scope 2 Normative references 3
Definitions
and
abbreviations
3.1
Definitions
3.2 Abbreviations
4 4.1
Overview Structure
of
this
guideline
4.2 Information security management systems in telecommunications business
5 Security policy 6
Organization
6.1
of
information
Internal
security organization
6.2 External parties
7
Asset
7.1
management
Responsibility
for
assets
7.2 Information classification
8
Human
8.1
resources
Prior
8.2
to
security employment
During
employment
8.3 Termination or change of employment
9
Physical
and
9.1
environmental Secure
security areas
9.2 Equipment security
10 10.1 10.2 10.3
Communications Operational Third System
party
and procedures service planning
operations and delivery and
management responsibilities management acceptance
10.4
Protection
against
malicious
and
mobile
10.5
code Back-up
10.6
Network
security
10.7
management
Media
10.8
handling
Exchange
10.9
of
Electronic
information
commerce
services
10.10 Monitoring
11 11.1
Access Business
11.2
requirement
for
User
access
management
User
11.4
responsibilities
Network
11.5
access
Operating
system
Application
control
access
11.3
11.6
control
and
control access
information
control
access
control
11.7 Mobile computing and teleworking
12 Information systems acquisition, development and maintenance 12.1
Security
12.2
requirements
Correct
information
processing
12.3
in
systems applications
Cryptographic
12.4 12.5
of
Security Security
in
controls
of development
system and
files
support
processes
12.6 Technical vulnerability management
13 13.1
Information Reporting
security
information
security
incident events
management and
weaknesses
13.2 Management of information security incidents and improvements
14
Business
continuity
management
14.1 Information security aspects of business continuity management
15 Compliance Annex A.9 A.10
A
–
Telecommunications
Physical
and
Communications
A.11 A.15 Compliance
extended environmental
and Access
operations
control
set
security management control
Annex B.1
B
–
Network
Additional
security
implementation
measures
against
guidance
cyber
attacks
B.2 Network security measures for network congestion
Bibliography ISO 27033-1:2009 1 Scope 2 Normative references 3 Terms and definitions 4 Abbreviated terms 5 Structure 6
Overview
6.1
Background
6.2 Network Security Planning and Management
7 Identifying Risks and Preparing to Identify Security Controls 7.1 7.2
Introduction Information
on
Current
and/or
Planned
Networking
7.3 Information Security Risks and Potential Control Areas
8
Supporting
Controls
8.1 8.2 8.3 8.4 8.5
Introduction Management Technical
Network
Vulnerability
Identification Network
8.6
Intrusion
8.7
Protection
8.8
of
Management
and
Audit
Authentication
Logging
and
Detection
and
against
Cryptographic
Security
Malicious Based
Monitoring Prevention Code Services
8.9 Business Continuity Management
9 Guidelines for the Design and Implementation of Network Security 9.1 9.2 Network Technical Security Architecture/Design
Background
10 Reference Network Scenarios – Risks, Design, Techniques and Control Issues 10.1 10.2
Introduction Internet
10.3
Access
Services
Enhanced
for
Employees
Collaboration
Services
10.4
Business
to
Business
Services
10.5
Business
to
Customer
Services
10.6
Outsourcing
10.7
Network
10.8
Mobile
10.9
Network
Support
Services Segmentation Communications for
Traveling
Users
10.10 Network Support for Home and Small Business Offices
11 ‘Technology’ Topics – Risks, Design Techniques and Control Issues 12 Develop and Test Security Solution 13 Operate Security Solution 14 Monitor and Review Solution Implementation Annex A Annex B: Security Related Controls, and clauses within this part of ISO/IEC 27033 Annex C (informative): Topics – Risks, Design Techniques and Control Issues (informative) Cross-references Between ISO/IEC 27001 and ISO/IEC 27002 Network (informative) Example Template for a SecOPs Document ISO 27799:2008 • Alcance • Referencias (Normativas) • Terminología • Simbología
• Seguridad de la información sanitaria (Objetivos; Seguridad en el gobierno de la información; Infomación sanitara a proteger; Amenazas y vulnerabilidades)
• Plan de acción práctico para implantar ISO 17799/27002 (Taxonomía; Acuerdo de la dirección; establecimiento, operación, mantenimiento y mejora de un SGSI; Planning; Doing; Checking, Auditing)
• Implicaciones sanitarias de ISO 17799/27002 (Política de seguridad de la
información;
Organización;
gestión
de
activos;
RRHH;
Fisicos;
Comunicaciones; Accesos; Adquisición; Gestión de Incidentes; Continuidad de negocio; Cumplimiento legal)
• Anexo A: Amenazas • Anexo B: Tareas y documentación de un SGSI • Anexo C: Beneficios potenciales y atributos de herramientas • Anexo D: Estándares relacionados •
Beneficios • Establecimiento de una metodología de gestión de la seguridad clara y estructurada. • Reducción del riesgo de pérdida, robo o corrupción de información. • Los clientes tienen acceso a la información a través medidas de seguridad. • Los riesgos y sus controles son continuamente revisados. • Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial. • Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar. • Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).
• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. • Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras. • Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. • Confianza y reglas claras para las personas de la organización. • Reducción de costes y mejora de los procesos y servicio. • Aumento de la motivación y satisfacción del personal. • Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías
•
¿Cómo adaptarse?
Arranque del proyecto
• Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. No sólo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciación que lleva consigo el proceso hacen necesario el impulso constante de la Dirección. • Planificación, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.
Planificación
• Definir alcance del SGSI: en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los límites del SGSI (el SGSI no tiene por qué abarcar toda la organización; de hecho, es recomendable empezar por un alcance limitado). Es importante disponer de un mapa de procesos de negocio, definir claramente los interfaces con el exterior del alcance, determinar las terceras partes (proveedores, clientes...) que tienen influencia sobre la seguridad de la información del alcance, crear mapas de alto nivel de redes y sistemas, definir las ubicaciones físicas, disponer de organigramas
organizativos,
definir
claramente
los
requisitos
contractuales relacionados con seguridad de la información, etc.
legales
y
• Definir política del SGSI: que incluya el marco general y los objetivos de seguridad de la información de la organización, tenga en cuenta los requisitos de negocio, legales y contractuales en cuanto a seguridad, esté alineada con la gestión de riesgo general, establezca criterios de evaluación de riesgo y sea aprobada por la Dirección. La política del SGSI es normalmente un documento muy general, una especie de "declaración de intenciones" de la Dirección. • Definir el enfoque de evaluación de riesgos: definir una metodología de evaluación de riesgos apropiada para el SGSI y las necesidades de la organización, desarrollar criterios de aceptación de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologías de evaluación de riesgos aceptadas internacionalmente (ver sección de Herramientas); la organización puede optar por una de ellas, hacer una combinación de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones de detalle, aunque ISO 27005 sí profundiza en directrices sobre la materia. El riesgo nunca es totalmente eliminable -ni sería rentable hacerlo-, por lo que es necesario definir una estrategia de aceptación de riesgo. • Inventario de activos: todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI. • Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario. • Identificar los impactos: los que podría suponer una pérdida de la confidencialidad, la integridad o la disponibilidad de cada uno de los activos de información. • Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en función de los niveles definidos previamente) o requiere tratamiento. • Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido (mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma consciente) o transferido (p. ej., con un seguro o un contrato de outsourcing).
• Selección de controles: seleccionar controles para el tratamiento el riesgo en función de la evaluación anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en cuenta que las exclusiones habrán de ser justificadas) y otros controles adicionales si se consideran necesarios. • Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el SGSI: hay que recordar que los riesgos de seguridad de la información son riesgos de negocio y sólo la Dirección puede tomar decisiones sobre su aceptación o tratamiento. El riesgo residual es el que queda, aún después de haber aplicado controles (el "riesgo cero" no existe prácticamente en ningún caso). • Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razón de su selección, los controles actualmente implementados y la justificación de cualquier control del Anexo A excluido. Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.
Implementación
• Definir plan de tratamiento de riesgos: que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información. • Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control identificados. • Implementar los controles: todos los que se seleccionaron en la fase anterior. • Formación y concienciación: de todo el personal en lo relativo a la seguridad de la información. • Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones. • Gestionar las operaciones del SGSI y todos los recursos que se le asignen. • Implantar procedimientos y controles de detección y respuesta a incidentes de seguridad.
Seguimiento
• Ejecutar procedimientos y controles de monitorización y revisión: para detectar errores en resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si las actividades de seguridad de la información están desarrollándose como estaba planificado, detectar y prevenir
incidentes de seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para resolver incidentes de seguridad han sido eficaces. • Revisar regularmente la eficacia del SGSI: en función de los resultados de auditorías de seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los interesados. • Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad. •
Revisar
regularmente la evaluación de riesgos: los
cambios
en la
organización, tecnología, procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado. • Realizar regularmente auditorías internas: para determinar si los controles, procesos y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de seguridad de la organización, están implementados y mantenidos con eficacia y tienen el rendimiento esperado. • Revisar regularmente el SGSI por parte de la Dirección: para determinar si el alcance definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la política de seguridad o a los objetivos de seguridad de la información. • Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorización y las revisiones. • Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.
Mejora continua
• Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase anterior. • Acciones correctivas: para solucionar no conformidades detectadas. • Acciones preventivas: para prevenir potenciales no conformidades. • Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle. • Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier acción, medida o cambio debe comprobarse siempre.
•
Aspectos clave Fundamentales • Compromiso y apoyo de la Dirección de la organización. • Definición clara de un alcance apropiado. • Concienciación y formación del personal. • Evaluación de riesgos adecuada a la organización.
• Compromiso de mejora continua. • Establecimiento de políticas y normas. • Organización y comunicación. • Gestión adecuada de la continuidad de negocio, de los incidentes de seguridad, del cumplimiento legal y de la externalización. • Integración del SGSI en la organización.
Factores de éxito • La concienciación del empleado por la seguridad. Principal objetivo a conseguir. • Realización de comités a distintos niveles (operativos, de dirección, etc.) con gestión continua de no conformidades, incidentes de seguridad, acciones de mejora, tratamiento de riesgos... • Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados). • La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles. • La seguridad no es un producto, es un proceso. • La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito. • La seguridad debe ser inherente a los procesos de información y del negocio.
Riesgos •
Exceso
de
tiempos
de
implantación:
con
los
consecuentes
descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc. • Temor ante el cambio: resistencia de las personas. • Discrepancias en los comités de dirección.
costes
• Delegación de todas las responsabilidades en departamentos técnicos. • No asumir que la seguridad de la información es inherente a los procesos de negocio. • Planes de formación y concienciación inadecuados. • Calendario de revisiones que no se puedan cumplir. • Definición poco clara del alcance. • Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo. • Falta de comunicación de los progresos al personal de la organización.
Consejos básicos • Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de trabajo, un proceso de negocio clave, un único centro de proceso de datos o un área sensible concreta; una vez conseguido el éxito y observados los beneficios, ampliar gradualmente el alcance en sucesivas fases. • Comprender en detalle el proceso de implantación: iniciarlo en base a cuestiones exclusivamente técnicas es un error frecuente que rápidamente sobrecarga de problemas la implantación; adquirir experiencia de otras implantaciones, asistir a cursos de formación o contar con asesoramiento de consultores externos especializados. • Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados. • La autoridad y compromiso decidido de la Dirección de la empresa -incluso si al inicio el alcance se restringe a un alcance reducido- evitarán un muro de excusas para desarrollar las buenas prácticas, además de ser uno de los puntos fundamentales de la norma. • La certificación como objetivo: aunque se puede alcanzar la conformidad con la norma sin certificarse, la certificación por un tercero asegura un mejor enfoque, un objetivo más claro y tangible y, por lo tanto, mejores opciones de alcanzar el éxito. Eso sí, la certificación es la "guinda del pastel", no es bueno
que sea la meta en sí misma. El objetivo principal es la gestión de la seguridad de la información alineada con el negocio. • No reinventar la rueda: apoyarse lo más posible en estándares, métodos y guías ya establecidos, así como en la experiencia de otras organizaciones. • Servirse de lo ya implementado: otros sistemas de gestión (como ISO 9001 para la calidad o ISO 14001 para medio ambiente) ya implantados en la organización son útiles como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a responsables y auditores internos de otros sistemas de gestión. • Reservar la dedicación necesaria diaria o semanal: el personal involucrado en el proyecto debe ser capaz de trabajar con continuidad en el proyecto. • Registrar evidencias: deben recogerse evidencias al menos tres meses antes del
intento
de
certificación
para
demostrar
que
el
SGSI
funciona
adecuadamente. No precipitarse en conseguir la certificación. •
Mantenimiento
y
mejora
continua:
tener
en
consideración
que
el
mantenimiento y la mejora del SGSI a lo largo de los años posteriores requeriran también esfuerzo y recursos.
•
Otros estándares Las normas publicadas bajo la serie ISO 27000 son estándares alineados con el conjunto de normas publicadas por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) actuales o futuras y que son desarrolladas mediante comités técnicos específicos. Aquellas organizaciones que ya empleen algún estándar o conjunto de buenas prácticas en seguridad de la información en base a otros modelos de gestión, obtendrán el beneficio de una adaptación y certificación en la norma ISO 27001 con un menor esfuerzo. En relación a la seguridad de la información, gestión del riesgo, continuidad de negocio y materias relacionadas, se incluye a continuación una selección de los estándares y métodos de referencia más conocidos y relevantes.
Además de los aquí resumidos, existen muchos otros estándares, guías, metodologías y buenas prácticas dedicados a distintos aspectos de la seguridad de la información, publicados por prestigiosas instituciones en todo el mundo. Puede consultar nuestra sección de Herramientas para encontrar enlaces a muchos de ellos. Acceda directamente a las secciones de su interés en el submenú de la izquierda o siguiendo los marcadores de final de página.
•
Normas ISO del SC27 ISO es la Organización Internacional para la Estandarización, creada en Febrero de 1947 y con sede en Ginebra, que cuenta con la representación de 153 países con el objetivo de lograr la coordinación internacional y la unificación de estándares en la industria.
ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission) han establecido un comité técnico conjunto específico para las Tecnologías de la Información denominado JTC1 (Joint Technical Committee). Dentro de dicho comité, el subcomité SC27 es el encargado del desarrollo de proyectos en técnicas de seguridad, labor que realiza a través de cinco grupos de trabajo (WG1, WG2, WG3, WG4 y WG5). Dispone de una página web donde se puede acceder a información sobre su ámbito, organización, agenda de reuniones y temas de trabajo.
Cada país miembro establece subcomités espejo que coordinan los trabajos a nivel nacional. En España, es AENOR quien tiene dicha responsabilidad. Lo hace a través del subcomité AEN/CTN 71/SC "Técnicas de Seguridad - Tecnología de la Información" y de sus correspondientes grupos de trabajo GT1, GT2, GT3, GT4 y GT5. El Ministerio de Administraciones Públicas español ofrece en su página web una información detallada sobre todos estos aspectos, en especial de las aportaciones españolas realizadas a través del GT1.
ISO JTC1 / SC27 / WG1: Sistemas de gestión de seguridad de la información SGSI. Las actividades de este grupo de trabajo incluyen: • Desarrollo y mantenimiento de la familia de normas ISO/IEC 27000. • Identificación de requisitos para futuros estándares y directrices relativas a los SGSI. • Colaboración con otros grupos de trabajo del SC27, en particular con el WG4 en cuanto a estándares relativos a la implementación de objetivos de control y controles definidos en ISO/IEC 27001. • Contacto y colaboración con otros comités y organizaciones relacionadas con los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad), ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, O CDE, etc. ISO JTC1 / SC27 / WG2: Mecanismos de seguridad y criptografía. Las actividades de este grupo de trabajo incluyen: • Identificación de las necesidades y los requisitos de técnicas y mecanismos de seguridad en sistemas y aplicaciones de TI. • Desarrollo de terminología, modelos generales y estándares de dichas técnicas y mecanismos para su uso en servicios de seguridad. • Tratamiento de todas las técnicas y mecanismos, sean criptográficos o no, que cubran aspectos como confidencialidad, autenticación, no repudio, gestión de claves, integridad, etc. ISO JTC1 / SC27 / WG3: Criterios de evaluación de la seguridad. Las actividades de este grupo de trabajo incluyen: • Desarrollo de estándares de evaluación y certificación de la seguridad de sistemas, componentes y productos de tecnologías de la información. • Tratamiento de los tres aspectos a considerar en este ámbito: criterios de evaluación, metodología de aplicación de dichos criterios y procedimientos
administrativos para la evaluación, la certificación y los esquemas de acreditación. •
Coordinación
con
los
comités
ISO
responsables
de
estándares
de
comprobación y gestión de calidad para no duplicar esfuerzos. ISO JTC1 / SC27 / WG4: servicios y controles de seguridad. Las actividades de este grupo de trabajo incluyen: • El desarrollo y mantenimiento de estándares y directrices relativas a servicios y aplicaciones que apoyen la implantación de objetivos de control y controles definidos en ISO/IEC 27001. • Identificación de requisitos y desarrollo de futuros estándares en áreas como continuidad de negocio, ciberseguridad, externalización (outsourcing), etc. • Colaboración con otros grupos de trabajo del SC27, en particular con el WG1. • Contacto y colaboración con otros comités y organizaciones relacionadas con los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad), ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, O CDE, etc. ISO JTC1 / SC27 / WG5: tecnologías de gestión de identidad y privacidad. Las actividades de este grupo de trabajo incluyen: • Desarrollo y mantenimiento de estándares y directrices relativos a los aspectos de seguridad de la gestión de identidad, biometría y protección de datos personales. • Identificación de requisitos y desarrollo de futuros estándares en áreas como control de acceso basado en roles (RBAC), provisioning, identificadores,
single sign-on, anonimato y credenciales, infraestructuras de privacidad, tecnologías para la mejora de la privacidad (PETs), técnicas de autenticación biométrica, protección de datos biométricos, etc. • Colaboración con otros grupos de trabajo del SC27: WG1 en aspectos de gestión, WG2 en técnicas de seguridad y WG3 en evaluación.
• Contacto y colaboración con otros comités y organizaciones tales como ISO/IEC SC37 (biometría), ECRYPT, FIDIS, etc. Puede obtenerse una lista actualizada de los estándares en vigor publicados
por el subcomité 27. Puede obtenerse una lista actualizada de los estándares en desarrollo del subcomité 27 en el siguiente enlace.
•
Certificación La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto quiere decir que la organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO 27001. En las siguientes secciones, se abordan diferentes temas relacionados con la certificación. Acceda directamente a cada una de ellas desde el menú lateral a su izquierda o siguiendo los marcadores de final de página.
•
Implantación del SGSI Evidentemente, el paso previo a intentar la certificación es la implantación en la organización del sistema de gestión de seguridad de la información según ISO 27001. Este sistema deberá tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditoría para su primera certificación. ISO 27001 exige que el SGSI contemple los siguientes puntos: • Implicación de la Dirección. • Alcance del SGSI y política de seguridad. • Inventario de todos los activos de información.
• Metodología de evaluación del riesgo. • Identificación de amenazas, vulnerabilidades e impactos. • Análisis y evaluación de riesgos. • Selección de controles para el tratamiento de riesgos. • Aprobación por parte de la dirección del riesgo residual. • Declaración de aplicabilidad. • Plan de tratamiento de riesgos. • Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo. • Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo. • Formación y concienciación en lo relativo a seguridad de la información a todo el personal. • Monitorización constante y registro de todas las incidencias. • Realización de auditorías internas. • Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance. • Mejora continua del SGSI. La documentación del SGSI deberá incluir: • Política y objetivos de seguridad. • Alcance del SGSI. • Procedimientos y controles que apoyan el SGSI. • Descripción de la metodología de evaluación del riesgo.
• Informe resultante de la evaluación del riesgo. • Plan de tratamiento de riesgos. • Procedimientos de planificación, manejo y control de los procesos de seguridad de la información y de medición de la eficacia de los controles. • Registros. • Declaración de aplicabilidad (SOA -Statement of Applicability-). • Procedimiento de gestión de toda la documentación del SGSI.
Hay una serie de controles clave que un auditor va a examinar siempre en profundidad: • Política de seguridad. • Asignación de responsabilidades de seguridad. • Formación y capacitación para la seguridad. • Registro de incidencias de seguridad. • Gestión de continuidad del negocio. • Protección de datos personales. • Salvaguarda de registros de la organización. • Derechos de propiedad intelectual. El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO 14001…). La
propia
norma
ISO
27001
incluye
en
su
anexo
C
una
tabla
de
correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentación necesaria, con objeto de facilitar la integración. Es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico. En el caso ideal, es posible llegar a un solo sistema de gestión y control de la actividad de la organización, que se puede auditar en cada momento desde la perspectiva de la seguridad de la información, la calidad, el medio ambiente o cualquier otra.
•
Auditoría y certificación
Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma: • Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por parte de la misma. • Respuesta en forma de oferta por parte de la entidad certificadora. • Compromiso. • Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría. • Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real. • Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se trata del análisis de la documentación por parte del Auditor Jefe y la preparación del informe de la documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 es de 6 meses. • Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría. • Certificación: en el caso de que se descubran durante la auditoría no conformidades graves, la organización deberá implantar acciones correctivas; una vez verificada dicha implantación o, directamente, en el caso de no haberse
presentado no conformidades, el auditor podrá emitir un informe favorable y el SGSI de organización será certificado según ISO 27001. • Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua. • Auditoría de re-certificación: cada tres años, es necesario superar una auditoría de certificación formal completa como la descrita.
Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente, en
BS
7799-2)
por
entidades
acreditadas
figuran
listadas
en
http://www.iso27001certificates.com. Para aquellas organizaciones que lo han autorizado, también está publicado el alcance de certificación. Naturalmente, la organización que implanta un SGSI no tiene la obligación de certificarlo. Sin embargo, sí es recomendable ponerse como objetivo la certificación, porque supone la oportunidad de recibir la confirmación por parte de un experto ajeno a la empresa de que se está gestionando correctamente la seguridad de la información, añade un factor de tensión y de concentración en una meta a todos los miembros del proyecto y de la organización en general y envía una señal al mercado de que la empresa en cuestión es confiable y es gestionada transparentemente.
•
La entidad de certificación Las entidades de certificación son organismos de evaluación de la conformidad, encargados de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos. En el caso de ISO 27001, certifican, mediante la auditoría, que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma. Existen numerosas entidades de certificación en cada país, ya que se trata de una actividad empresarial privada con un gran auge en el último par de décadas, debido a la creciente estandarización y homologación de productos y sistemas en todo el mundo. La organización que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidiéndose por la más conveniente, como hace con cualquier otro producto o servicio. Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de
acreditación,
comprueba,
mediante
evaluaciones
independientes
e
imparciales, la competencia de las entidades de certificación para la actividad objeto de acreditación. En cada país suele haber una sola entidad de acreditación (en algunos, hay más de una), a la que la Administración encarga esa tarea. En España, es ENAC (Entidad Nacional de Acreditación) ; para otros países, puede consultarse esta lista.
La acreditación de entidades de certificación para ISO 27001 o para BS 7799-2 -antes de derogarse- solía hacerse en base al documento EA 7/03 "Directrices para
la
acreditación
de
organismos
operando
programas
de
certificación/registro de sistemas de gestión de seguridad en la información". La aparición de la norma ISO/IEC 27006 ha supuesto la derogación del anterior documento. Las entidades de acreditación establecen acuerdos internacionales para facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones como IAF (International
Accreditation Forum) o EA (European co-operation for Accreditation). •
El auditor El auditor es la persona que comprueba que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma. En general, se distinguen tres clases de auditores: • de primera parte: auditor interno que audita la organización en nombre de sí misma, normalmente, como mantenimiento del sistema de gestión y como preparación a la auditoría de certificación; • de segunda parte: auditor de cliente, es decir, que audita una organización en nombre de un cliente de la misma; por ejemplo, una empresa que audita a su proveedor de outsourcing; • de tercera parte: auditor independiente, que audita una organización como tercera parte imparcial; normalmente, porque la organización tiene la intención de lograr la certificación y contrata para ello los servicios de una entidad de certificación. El auditor, sobre todo si actúa como de tercera parte, ha de disponer también de una certificación personal. Esto quiere decir que, nuevamente un tercero, certifica que posee las competencias profesionales y personales necesarias para desempeñar la labor de auditoría de la materia para la que está certificado. En este punto, hay pequeñas diferencias entre las entidades certificadoras, que pueden formular requisitos distintos para homologar a sus auditores. Pero, en general, la certificación de auditores se ciñe a la norma ISO 19011 de
directrices para la auditoría de sistemas de gestión, que dedica su punto 7 a la competencia y evaluación de los auditores. Al auditor se le exigen una serie de atributos
personales,
conocimientos
y
habilidades,
educación
formal,
experiencia laboral y formación como auditor. Existen diversas organizaciones internacionales de certificación de auditores, con el objeto de facilitar la estandarización de requerimientos y garantizar un alto nivel de profesionalidad de los auditores, además de homologar a las instituciones que ofrecen cursos de formación de auditor. Algunas de estas organizaciones son IRCA, RABQSA o IATCA. IRCA (International Register of Certificated Auditors) es el mayor organismo mundial de certificación de auditores de sistemas de gestión. Tiene su sede en el Reino Unido y, por ello -debido al origen inglés de la norma BS 7799-2 y, por tanto, de ISO 27001-, tiene ya desde hace años un programa de certificación de auditores de sistemas de gestión de seguridad de la información. Su página web, también en español, es una buena fuente de consulta de los requisitos y los grados de auditor. Dispone de un enlace directo a las últimas novedades del IRCA desde nuestra sección de boletines. En cuanto a la práctica de la auditoría, al auditor se le exige que se muestre ético, con mentalidad abierta, diplomático, observador, perceptivo, versátil, tenaz, decidido y seguro de sí mismo. Estas actitudes son las que deberían crear un clima de confianza y colaboración entre auditor y auditado. El auditado debe tomar el proceso de auditoría siempre desde un punto de vista constructivo y de mejora continua, y no de fiscalización de sus actividades. Para ello, el auditor debe fomentar en todo momento un ambiente de tranquilidad, colaboración, información y trabajo conjunto.
•
Norma ISO27001 ¿Qué es ISO? ISO
(International
Organization for
Standardization)
es una
federación
internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los institutos de normalización nacionales es diferente en los distintos países (público, privado…).
ISO desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores…) acerca de productos, tecnologías, métodos de gestión, etc. Estos estándares, por naturaleza, son de aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da autoridad legal para forzar su implantación. Sólo en aquellos casos en los que un país ha decidido adoptar un determinado estándar como parte de su legislación, puede convertirse en obligatorio. ISO garantiza un marco de amplia aceptación mundial a través de los 3000 grupos técnicos y 50.000 expertos que colaboran en el desarrollo de normas.
¿Qué es un estándar? Es una publicación que recoge el trabajo en común de los comités de fabricantes,
usuarios,
organizaciones,
departamentos
de
gobierno
y
consumidores y que contiene las especificaciones técnicas y mejores prácticas en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las necesidades demandadas por la sociedad y tecnología. Los estándares ayudan a aumentar la fiabilidad y efectividad de materiales, productos, procesos o servicios que utilizan todas las partes interesadas (productores, vendedores, compradores, usuarios y reguladores). En principio, son de uso voluntario, aunque la legislación y las reglamentaciones nacionales pueden hacer referencia a ellos.
¿Qué es AENOR y cuál es su relación con ISO? AENOR es una entidad española de normalización y certificación en todos los sectores industriales y de servicios. En su vertiente de normalización, tiene encomendada esta tarea por la Administración española y es el representante de España en ISO. En su vertiente de certificación, opera en el mercado como cualquier otra entidad privada de certificación y no tiene concedida ninguna exclusividad.
¿Qué es la norma ISO 27001?
Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa en un ciclo de vida PDCA (PlanDo-Check-Act; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.). Es un estándar certificable, es decir, cualquier organización que tenga implantado un SGSI según este modelo puede solicitar una auditoría externa por parte de una entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO 27001.
¿Cuál es el origen de ISO 27001? Su origen está en la norma de BSI (British Standards Institution) BS7799-Parte 2, norma que fue publicada por primera vez en 1998 y ya era un estándar certificable desde entonces. Tras la adaptación pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005. Puede consultar la historia de ISO 27001 en el archivo sonoro.
¿Qué tiene que ver ISO 27001 con ISO 27002 (anteriormente denominada 17799)? ISO 27002 es un conjunto de buenas prácticas en seguridad de la información. Contiene 133 controles aplicables (en relación a la gestión de la continuidad de negocio, la gestión de incidentes de seguridad, control de accesos o regulación de las actividades del personal interno o externo, entre otros muchos), que ayudarán a la organización a implantar medidas que reduzcan sus riesgos en cuanto a seguridad de la información. Su origen está en la norma de BSI (British Standards Institution) BS7799-Parte 1, que fue publicada por primera vez en 1995. No es certificable. ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 27002 para su posible aplicación en el SGSI que implante cada organización (justificando, en el documento denominado “Declaración de Aplicabilidad”, los motivos de exclusión de aquellos que finalmente no sean necesarios). ISO 27002 es para ISO 27001, por tanto, una relación de controles necesarios para garantizar la seguridad de la información.
A partir del 1 de Julio de 2007, ISO 17799:2005 pasó a denominarse ISO 27002:2005, cambiando únicamente su nomenclatura.
¿Puedo certificar mi empresa en ISO 27002? ISO 27002 es un conjunto de buenas prácticas de seguridad de la información que describe 133 controles aplicables. No es certificable, al igual que su norma antecesora BS 7799-1, y la aplicación total o parcial en cada organización se realiza de forma totalmente libre y sin necesidad de una supervisión regular externa. La norma que sí es certificable es ISO 27001, como también lo fue su antecesora BS 7799-2.
¿Qué es la serie ISO 27000? ISO ha reservado la serie de numeración 27000 para las normas relacionadas con sistemas de gestión de seguridad de la información. En 2005 incluyó en ella la primera de la serie (ISO 27001). En próximos años está prevista la incorporación
de
nuevas
normas
que
supongan
un
apoyo
para
las
organizaciones que implanten y certifiquen un SGSI según ISO 27001. Entre otras, serán 27000 (términos y definiciones), 27002 (objetivos de control y controles), 27003 (guía de implantación de un SGSI), 27004 (métricas y técnicas de medida de la efectividad de un SGSI), 27005 (guía para la gestión del riesgo de seguridad de la información) y 27006 (proceso de acreditación de entidades de certificación y el registro de SGSIs). Por estar en continuo desarrollo y cambio, para estar al día, recomendamos la
visita de nuestra sección específica a la serie 27000.. ¿Qué aporta la ISO 27001 a la seguridad de la información de una empresa? Aplica una arquitectura de gestión de la seguridad que identifica y evalúa los riesgos que afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control y mejora continua. Ayuda a la empresa a gestionar de una forma eficaz la seguridad de la información, evitando las inversiones innecesarias, ineficientes o mal dirigidas
que se producen por contrarrestar amenazas sin una evaluación previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles desproporcionados y de un coste más elevado del necesario, por el retraso en las medidas de seguridad en relación a la dinámica de cambio interno de la propia organización y del entorno, por la falta de claridad en la asignación de funciones y responsabilidades sobre los activos de información, por la ausencia de procedimientos que garanticen la respuesta puntual y adecuada ante incidencias o la propia continuidad del negocio, etc.
¿ISO 27001 tiene que ver sólo con la seguridad informática de una empresa? La información crítica de una empresa está presente en los sistemas informáticos, pero también en papel, en diferentes tipos de archivos y soportes, se transmite a terceros, se muestra en diversos formatos audiovisuales, se comparte en conversaciones telefónicas y reuniones y está presente en el propio conocimiento y experiencia de los trabajadores. ISO 27001 propone un marco de gestión de la seguridad de toda la información de la empresa. La presencia masiva de sistemas informáticos en el tratamiento de la información lleva a menudo a centrar la atención sólo en la informática, dejando así expuesta información esencial para las actividades del negocio. La evaluación de riesgos previa a la implantación de controles debe partir de un análisis de los impactos que podría suponer para la organización la pérdida de la confidencialidad, la integridad o la disponibilidad de cualquier parte de su información. Esto es un estudio en términos de negocio, independiente del soporte de la información. La aplicación posterior de controles considera temas como los aspectos organizativos, la clasificación de la información, la inclusión de la seguridad en las responsabilidades laborales, la formación en seguridad de la información, la conformidad con los requisitos legales o la seguridad física, además de controles propiamente técnicos.
¿Quién debe promover la implantación de ISO 27001 en la empresa? La Dirección de la empresa debe liderar el proceso. Teniendo en cuenta que los riesgos que se intentan minimizar mediante un SGSI son, en primera instancia, riesgos para el negocio, es la Dirección quien debe tomar decisiones. Además,
la
implantación
de
ISO
27001
implicará
cambios
de
mentalidad,
de
sensibilización, de procedimientos y tareas, etc., y la Dirección es la única que puede introducirlos en la organización. Sin el apoyo decidido de la Dirección, según la propia ISO 27001 indica, no es posible la implantación ni la certificación de la norma en la empresa.
¿En qué términos entiende mejor la Dirección la importancia de ISO 27001? La Dirección de la empresa conoce los riesgos del negocio, la tolerancia en su aceptación y las obligaciones con sus clientes y accionistas mejor que nadie. Por tanto, los términos en que debe entender la Dirección la importancia de ISO 27001 son los de los riesgos asumibles, la continuidad de negocio y los costes de “no-seguridad”. La Dirección no tiene por qué verse confrontada con tecnologías y descripción de amenazas desde el punto de vista técnico.
¿Aporta un retorno de inversión la certificación en ISO 27001 de la empresa? Como cualquier otro proyecto de la empresa, la certificación requiere de una inversión de mayor o menor importancia en función de las prácticas actuales en seguridad. El retorno de la inversión es realmente efectivo en el tiempo, considerando, entre otras razones, que con ISO 27001: • Se aprovecha el hecho comprobado de que el coste de la implementación de controles apropiados de seguridad puede ser hasta 7 veces menor cuando se consideran al principio del diseño e implantación de las soluciones de negocio. • Las inversiones en tecnología se ajustan a unas necesidades y prioridades conocidas de un entorno controlado. Se evitan compras innecesarias y sobredimensionadas o la necesidad inesperada de productos. • Muchos errores se evitan gracias a los controles adoptados; los que se detectan regularmente se solucionan con medidas de coste razonable y sin causar daños, y los que finalmente se producen se solucionan y controlan mediante procedimientos establecidos.
• Se asegura la continuidad de negocio en el tiempo mínimo requerido ante cualquier incidencia, por grave que sea. • Se evita la fuga de información esencial a competidores y medios públicos que pueda perjudicar el crecimiento, pérdida de competitividad y reputación de la empresa en el mercado en el que participa. • Es una buena herramienta para el aprovechamiento de nuevas oportunidades de negocio. • Se demuestra a clientes, proveedores, inversores, al mercado y a la sociedad en general un alto nivel de concienciación en la protección de la información y conformidad y cumplimento de la legalidad.
¿Qué tipo de empresas se están certificando en ISO 27001? El estándar se puede adoptar por la mayoría de los sectores comerciales, industriales y de servicios de pequeñas, medianas o grandes entidades y organizaciones: finanzas, aseguradoras, telecomunicaciones, servicios públicos, minoristas, sectores de manufactura, industrias de servicios diversos, sector del transporte y gobiernos entre otros. En la actualidad destaca su presencia en empresas dedicadas a servicios de tecnologías de la información, como prueba del compromiso con la seguridad de los datos de sus clientes.
¿Qué es la norma UNE 71502? Es una norma española certificable de ámbito local que surgió como versión adaptada de BS7799-2 y que también guarda relación con UNE-ISO/IEC17799 mediante su Anexo A. Publicada en Febrero de 2004 ya ha sido reemplazada formalmente por ISO/IEC 27001 dentro del contexto internacional de reconocimiento de la norma. Fue elaborada por el comité técnico AEN/CTN 71 de la Tecnología de la Información.
¿Es mejor certificarse en ISO 27001 o en UNE 71502? Ya no es posible certificarse contra UNE 71502. Por otra parte, las empresas certificadas en su momento bajo el estándar nacional UNE 71502 que hayan
mantenido la certificación habrán adaptado sus SGSI y renovado sus certificaciones bajo el marco común internacional ISO/IEC 27001.
¿Es ISO 27001 compatible con ISO 9001? ISO 27001 ha sido redactada de forma análoga a otros estándares, como ISO 9001 (Calidad), ISO 14001 (Medio Ambiente) y OHSAS 18001 (prevención de riesgos), con el objetivo, entre otros, de facilitar a las organizaciones la integración de todos ellos en un solo sistema de gestión. La propia norma incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentación necesaria para facilitar la integración. Es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico. En el caso ideal, es posible llegar a un solo sistema de gestión y control de la actividad de la organización, que se puede auditar en cada momento desde la perspectiva de la seguridad de la información, la calidad, el medio ambiente o cualquier otra. Nuestra sección de Artículos contiene referencias específicas y experiencias sobre este tema.
¿Cómo se relaciona ISO 27001 con otros estándares de seguridad de la información? Ciertamente, existen otros estándares relacionados con seguridad de la información (COBIT, COSO, NIST, ITIL, TickIT, etc.), que la enfocan desde diferentes puntos de vista como a controles de seguridad, buen gobierno, gestión de servicios TI, seguridad de producto… La organización debería considerar cuál es la mejor opción en relación a sus necesidades.
Quiero implantar ISO 27001, ¿por dónde empiezo? Si está planteándose abordar ISO 27001 en su organización, puede empezar por: • Recopilar información en páginas web como esta que está visitando y asistir a eventos informativos.
• Comprar las normas ISO 27001 e ISO 27002 en los sitios oficiales; p. ej.,
ISO, AENOR en España, DGN en México, ICONTEC en Colombia, INN en Chile, IRAM en Argentina, etc. (lista completa en ISO). • Realizar un curso de formación, de los muchos que hay en el mercado, de introducción a la norma, a su implantación y su auditoría. En nuestra sección de
Eventos podrá encontrar algunas referencias de interés. • Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con los controles de ISO 27002. Aunque no sea un análisis exhaustivo, proporciona una idea aproximada de la distancia que le separa de la conformidad con la norma y el camino que habrá que recorrer. • En muchos casos, es necesario contratar los servicios de una empresa consultora especializada que le ayude algunas fases del proceso. Sin embargo, recuerde que las decisiones de negocio no deben ser trasladadas a nadie externo a la organización. • Deberá pasar por todas las tareas propias de implantación de un SGSI: definición
de
política,
determinación
del
alcance,
análisis
de
riesgos,
tratamiento de riesgos, etc. Las distintas secciones de nuestra web pueden aportarle puntual información. • Paralelamente, formar y concienciar a todo el personal. En nuestra sección
de
Herramientas
encontrará
informaciones
útiles
sobre
planes
de
sensibilización. • Una vez implantado el sistema y en funcionamiento, deberá recopilar evidencias al menos durante tres meses antes de pasar a la auditoría de certificación. Precisamente, son esas evidencias y registros históricos los que indican al auditor externo que el sistema de gestión funciona de manera adecuada. • Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o varias entidades de certificación acreditadas (como en la contratación de otros servicios puede ser recomendable la estrategia de solicitar tres ofertas y comparar la calidad y coste de los proveedores de los servicios) para pedir formalmente la visita de auditoría (sus tarifas y oferta de servicios pueden diferir). Ofrecen, adicionalmente, un servicio añadido de “pre-auditoria” muy
recomendable para afrontar con garantías una primera certificación en la norma. En nuestra sección de Certificación encontrará informaciones adicionales que pueden ser de utilidad.
•
SGSI ¿Qué es un SGSI? Un SGSI es un Sistema de Gestión de la Seguridad de la Información. Esta gestión debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Podría considerarse, por analogía con una norma tan conocida como la ISO 9000, como el sistema de calidad para la seguridad de la información. El propósito de un sistema de gestión de la seguridad de la información no es garantizar la seguridad –que nunca podrá ser absoluta- sino garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las tecnologías.
¿Qué es un ISMS? Son las siglas en inglés (Information Security Management System) de SGSI (Sistema de Gestión de Seguridad de la Información).
¿En qué ayudan los sistemas de gestión en general? Aseguran que una organización es dirigida de un modo eficiente y eficaz. Formalizan y sistematizan la gestión en procedimientos escritos, instrucciones, formularios y registros que aseguren la eficiencia de la organización y su mejora continua.
¿Qué información protege un SGSI? Los activos de información de una organización, independientemente del soporte que se encuentren; p. ej., correos electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información confidencial de trabajadores y colaboradores...
¿Qué es exactamente la seguridad de la información? La seguridad de la información es la preservación de la confidencialidad, integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento dentro de una organización. Estos tres factores se definen como: • Confidencialidad: acceso a la información por parte únicamente de quienes estén autorizados. • Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. • Disponibilidad: acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran.
Tengo un firewall, actualizo regularmente el antivirus y realizo copias de backup. ¿Qué aporta un SGSI a mi empresa? Estas medidas no son más que unos pocos controles técnicos que, por sí mismos, no significan que se esté gestionando la seguridad. Un SGSI implica que la organización ha estudiado los riesgos a los que está sometida toda su información, ha evaluado qué nivel de riesgo asume, ha implantado controles (no sólo tecnológicos, sino también organizativos) para aquellos riesgos que superan
dicho
nivel,
ha
documentado
las
políticas
y
procedimientos
relacionados y ha entrado en un proceso continuo de revisión y mejora de todo el sistema. El SGSI da así la garantía a la empresa de que los riesgos que afectan a su información son conocidos y gestionados. No se debe olvidar, por tanto, que no hay seguridad total sino seguridad gestionada.
¿Existe algún producto que cubra los principales aspectos de seguridad de la información? No. Por influencia de la publicidad y las campañas de venta agresivas, es un error común pensar que el nivel de seguridad depende exclusivamente del presupuesto dedicado a la compra de productos relacionados. La seguridad exige de un plan de gestión del riesgo continuado, políticas adecuadas a cada empresa y una seguridad establecida en base a múltiples y diferentes barreras. Siempre hay que recordar que la seguridad no es un producto sino un proceso.
Si la seguridad total no existe, ¿qué diferencia aporta un SGSI? Un SGSI es el modo más eficaz de conseguir minimizar los riesgos, asegurar la continuidad adecuada de las actividades de negocio hasta en los casos más extremos y de adaptar la seguridad a los cambios continuos que se producen en la empresa y en su entorno. Aunque nunca logremos la seguridad total, nos acercamos a ella mediante una mejora continua. Es más apropiado hablar en términos de riesgo asumible en lugar de seguridad total, ya que no sería lógico que el gasto en seguridad sea mayor que los impactos potenciales de los riesgos que pretende evitar.
¿En qué consiste la gestión del riesgo y el ciclo de vida PDCA? Mediante la gestión del riesgo se identifican, evalúan y corrigen a niveles razonables y asumibles en coste todos los riesgos en seguridad que podrían afectar a la información. PDCA son las siglas en inglés del conocido como ciclo de Deming: Plan-DoCheck-Act (Planificar-Hacer-Verificar-Actuar). En la fase PLAN se realiza la evaluación de las amenazas, riesgos e impactos. En la fase DO, se seleccionan e implementan los controles que reduzcan el riesgo a los niveles considerados como aceptables y en CHECK y ACT se cierra y reinicia el ciclo de vida con la recogida de evidencias y readaptación de los controles según los nuevos niveles obtenidos y requeridos. Es un proceso cíclico sin fin que permite la mejor adaptación de la seguridad al cambio continuo que se produce en la empresa y su entorno.
•
Certificación ¿Por qué dentro de la serie es certificable únicamente la 27001? Es la norma que define el modelo completo de gestión de seguridad de la información según ciclo PDCA aunque, para algunos procesos, se apoya en otras normas relacionas no certificables, como ISO 27002.
¿Quién certifica a mi empresa en ISO 27001? Una entidad de certificación acreditada, mediante una auditoría. Esta entidad establece el número de días y auditores necesarios, puede realizar una pre-
auditoría (no obligatoria) y lleva a cabo una auditoría formal. Si el informe es favorable, la empresa recibirá la certificación. Para mayor detalle, consulte nuestra sección de Certificación.
¿En qué ayuda a las empresas la auditoría de certificación? Supone la oportunidad de recibir la confirmación por parte de un experto ajeno a la empresa de que se está gestionando correctamente la seguridad de la información. Añade un factor de tensión y de concentración en un objetivo a todos los miembros del proyecto y de la organización en general, lo que redunda en beneficio de la implantación del sistema. Da una señal al mercado de que la empresa en cuestión es confiable y es gestionada transparentemente. Es el requisito indispensable para acceder a la certificación y poder utilizar el sello de certificación junto al de la propia empresa.
¿Por qué crece el número de empresas certificadas? El acta Sarbanes-Oxley en EEUU y la publicación de directivas en el ámbito EU y en cada estado miembro ha activado las alarmas en la dirección de las empresas. Adicionalmente a los requisitos legales establecidos para auditorías financieras, gestión de riesgos, financiación, plan de desastres, continuidad de negocio, etc., crece el número de requisitos legales relacionados con la protección de los datos de carácter personal. ISO27001 ayuda a considerar y adoptar los controles necesarios en los procesos de negocio y tratamiento de la información para satisfacer las demandas de la empresa, legales y de los clientes en materia de seguridad de la información.
¿Obliga mi certificación a la de mis empresas de servicio externas (outsourcing)? No necesariamente. ISO27001 indica los controles a considerar para servicios de outsourcing desde el ámbito de su empresa (requisitos contractuales, niveles de servicio, obligaciones legales, auditoría, etc.). La seguridad de los sistemas de información que están fuera del ámbito es responsabilidad de la empresa
externa, que debe cumplir regularmente con los compromisos contractuales exigidos por el cliente.
¿Dónde puedo ver si una empresa está certificada? Existe un registro internacional de referencia de organizaciones certificadas en ISO 27001 a nivel mundial en iso27001certificates.com. Para aparecer en este listado las entidades de certificación acreditadas deben comunicar explicitamente un proceso de regitro. Estas acciones adicionales de caracter administrativo hacen que no todas las empresas certificadas apararezcan en esta web pero permite tener una idea del rápido desarrollo de la norma, de los tipos de empresa y alcances certificados, entre otros. El organismo ISO ofrece adicionalmente a inicios de año un informe "ISO Survey" que muestra la evolución de los Sistemas de Gestión relacionados con los estándares adoptados con mayor éxito y ofrece resultados por cantidad, país y evolución respecto a años anteriores, aunque no especifica los detalles particulares para cada una de las certificaciones. Las certificaciones emitidas por entidades de certificación no acreditadas no tienen la garantía del reconocimiento internacional y no cuentan por tanto en ninguna
de
efectivamente
estas
dos
referencias.
Tampoco
consideradas efectivamente
se
garantiza
que
en posibles contratos
sean
con
la
administración o entidades privadas de ahí la importancia que la supervisión de las entidades de certificación por otra entidad superior e independiente de acreditación.
¿Quién acredita a las entidades certificadoras? Cada país tiene una entidad de acreditación (algunos, varias) que se encarga de supervisar que las entidades de certificación (las que, finalmente, auditan y certifican los sistemas de gestión de las empresas) están capacitadas para desempeñar su labor y se ajustan a los esquemas establecidos. En España, es ENAC (Entidad Nacional de Acreditación; http://www.enac.es) quien tiene esta misión y existe como regla general una única entidad de acreditación por país (una contada excepción se localiza en Nueva Zelanda que comparte la misma entidad de acreditación con Australia). También se da el caso de entidades certificadoras con actividades en un país determinado que expiden certificados bajo esquema de acreditación de una
entidad de acreditación extranjera. En ISO 27001, se da frecuentemente el caso de entidades de certificación con oficinas en UK acreditadas desde un inicio con UKAS (entidad nacional de acreditación del Reino Unido) y que siguen gestionando internamente los expedientes y expedición de certificados desde UK, por carencias en la posibilidad de acreditación en ISO 27001 a nivel nacional dada su corta vida aún como ISO, por petición específica de sus clientes o temas de marketing o, incluso, por evitar múltiples tasas y auditorías de acreditación nacionales y mantener una única oficina centralizada para la tramitación de la documentación y emisión de certificados.
¿Cómo es el proceso de certificación? El proceso de certificación puede resumirse en las siguientes fases: • Solicitud por parte del interesado a la entidad de certificación y toma de datos por parte de la misma. • Respuesta en forma de oferta por parte de la entidad certificadora. • Compromiso. • Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría. • Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real. • Fase 1 de la auditoría: revisión del alcance, política de seguridad, Dirección, análisis de riesgos, declaración de aplicabilidad y procedimientos clave. • Fase 2 de la auditoría: revisión de las políticas, auditoría de la implantación de los controles de seguridad y verificación de la efectividad del sistema. • Certificación: acciones correctivas en caso de no conformidades graves, revisión y emisión de certificado en caso de informe favorable. • Auditoría de seguimiento: auditoría semestral o anual de mantenimiento. • Auditoría de re-certificación: cada tres años, una auditoría de certificación formal completa.