ISO 27001

Es un sistema de gestión que comprende la política, estructura organizativa,procedimientos, procesos y recursos necesarios para establecer, implantar,mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI); La propuesta de esta norma, no está orientada a despliegues tecnológicos o deinfraestructura, sino a aspectos netamente organizativos, es decir, la frase quepodría definir su propósito es “Organizar la seguridad de la información”; Estanorma utiliza el modelo “Plan-Do-Check-Act” (PDCA) aplicado a toda la estructurade procesos de ISMS.Un ISMS se implanta de acuerdo a estándares de seguridad como el ISO 27001basado en el código de buenas prácticas y objetivos de control ISO 17799, el cual secentra en la preservación de las características de

confidencialidad

integridad

disponibilidad

¿Qué significa el modelo PDCA?

–

Plan

(Establecer el ISMS): Implica, establecer a política ISMS, susobjetivos, procesos, procedimientos relevantes para la administración deriesgos y mejoras para la seguridad de la información, entregandoresultados acordes a las políticas y objetivos de toda la organización.

–

(Implementar y operar el ISMS): Representa la forma en que se debeoperar e implementar la política, controles, procesos y procedimientos.

–

Check

(Monitorizar y revisar el ISMS): Analizar y medir donde seaaplicable, los procesos ejecutados con relación a la política del ISMS,evaluar objetivos, experiencias e informar los resultados a laadministración para su revisión.

–

Act

(Mantener y mejorar el ISMS): Realizar las acciones preventivas ycorrectivas, basados en las auditorías internas y revisiones del ISMS ocualquier otra información relevante para permitir la continua mejora delISMS.

¿Cuándo se convirtió en norma?

–

1995

BS 7799-1:1995 (Norma británica)

–

1999

BS 7799-2:1999 (Norma británica)

–

1999

Revisión BS 7799-1:1999

–

2000

ISO/IEC 17799:2000 (Norma internacional código de prácticas)

–

2002

Revisión BS 7799-2:2002

–

2004

UNE 71502 (Norma española)

–

2005

Revisión ISO/IEC 17799:2005

–

2005

Revisión BS 7799-2:2005

–

2005

ISO/IEC 27001:2005 (Norma internacional certificable)

¿Porque poner en funcionamiento el SGSI?

–Reconocimiento oficialmente reconocido para la gestión de la seguridad dela información.–Protege la información.–Permite garantizar la eficacia de los esfuerzos desarrollados en materia degestión de seguridad.

–

Confianza y reputación corporativa hacia los clientes, empleados, accionistasy proveedores; cuando ellos acceden a la información de manera segura.–Auditoria y control de riesgos constantemente; que permiten identificardebilidades del sistema.–Posibles reducciones en las primas de su seguro, vinculadas a una posibledisminución de incidentes en materia de seguridad.

–

Evitar pérdidas, robos, riesgos, corrupción y descuidos con los activos de lainformación.

¿A quién puede interesar?

ISO/IEC 27001 es una norma adecuada para cualquier organización, grande opequeña, de cualquier sector o parte del mundo. La norma es particularmenteinteresante si la protección de la información es crítica, como en finanzas, sanidadsector público y tecnología de la información (TI); ISO/IEC 27001 también es muyeficaz para organizaciones que gestionan la información por encargo de otros, porejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a losclientes que su información está protegida.La exclusión de los requerimientos especificados en las cláusulas 4, 5, 6, 7 y 8, noson aceptables cuando una organización solicite su conformidad con esta norma yson:

4. ISMS:

La organización, establecerá, implementará, operará, monitorizará,revisará, mantendrá y mejorará

las actividades globales de su negocio y los riesgos.Donde este está basado en el modelo PDCA; los documentos de estos deben deser debidamente protegidos y controlados. Es necesario un

procedimientodocumentado

y a su vez incluyen los siguientes criterios: Aprobación dedocumentos antes de su emisión, revisión y actualización y necesidad de re-aprobación, identificación de cambios y versiones en vigor, garantizar que lasversiones aplicables se encuentren en los puntos de uso, garantizar que losdocumentos permanecen legibles y fácilmente identificables, garantizar que están adisposición de las personas que los necesitan, garantizar que son transferidos,almacenados y destruidos según lo establecido en el ISMS, garantizar que seidentifican los documentos de origen externo, garantizar que se controla ladistribución e documentos, prevenir el uso no intencionado de documentosobsoletos, identificar los obsoletos caso de que sean retenidos por algún motivo.

5. Responsabilidades de la Administración:

debe proporcionar una altadirección y proveerá evidencias de su compromiso con el proyecto estableciendo laPolítica del ISMS, asegurando que se establecen Objetivos para el ISMS y que se

planifica su consecución, estableciendo roles y responsabilidades, comunicando laimportancia de logar los Objetivos y estableciendo la Política del ISMS, comunicandoresponsabilidades y la necesidad de la búsqueda de la mejora continua,suministrando recursos, decidiendo criterios de aceptación de riesgos y Niveles deRiesgo Aceptables, asegurándose de que se realizan Auditorías Internas, realizandoRevisiones por la Dirección del ISMS.La organización asegurará que los empleados que sean responsables de algo en elISMS sean competente y esté en capacidad de ejecutar las tareas requeridas, paraello deberá proveer las herramientas y capacitación necesaria; y ser consciente dela importancia de sus actividades y de cómo pueden contribuir a la consecución delos Objetivos.

6. Auditoría Interna del ISMS:

estas auditorías del ISMS deben de realizarseaintervalos previamente planificados en un Programa de Auditorías, en función dela importancia de los procesos y áreas a auditar; obteniendo unos resultadosprevios.La selección de auditores y el desarrollo de la auditoría deben garantizar la totalimparcialidad y objetividad del proceso de auditoría. Un auditor no debe

auditarnunca su propio trabajo.Requisitos mínimos: Intervalos planificados y como mínimo 1 al año, debe incluiroportunidades de mejora y necesidad de cambios en el ISMS, analizar posiblescambios en la Política y en los Objetivos y los resultados de la RxD deben estardocumentados manteniendo registro.

7. Administración de las revisiones del ISMS:

Estas revisiones incluiránvaloración de oportunidades para mejorar o cambiar el ISMS incluyendo la políticade seguridad de la información y sus objetivos. Los resultados de estas revisiones,como se mencionó en el punto anterior serán claramente documentados y losmismos darán origen a esta actividad.

8. Mejoras del ISMS

: el mejoramiento continúo de la eficiencia del ISMS usandolas políticas de seguridad de la información, sus objetivos, el resultado de lasauditorías, el análisis y monitorización de eventos, las acciones preventivas ycorrectivas y las revisiones de administración.Este posee dos tipos de acciones:

las acciones correctivas (AACC)

que incluyenidentificar No Conformidades, determinar sus causas, evaluar necesidad deactuación, determinar AACC necesarias, registrar resultados de las acciones, revisarlas AACC tomadas y

las acciones preventivas que incluyen i

dentificar NoConformidades Potenciales, determinar sus causas, evaluar necesidad de actuaciónpreventiva, determinar AAPP necesarias, registrar resultados de las acciones,revisar las AAPP tomadas.

¿Qué es un control?

Es lo que me permite garantizar que cada uno de los aspectos que se valoraron conriesgos queda cubierto y auditable de muchas maneras; lo que es necesariorecalcar aquí es que los controles serán seleccionados e implementados de acuerdoa los requerimientos identificados por la valoración del riesgo y los procesos detratamiento del riesgo o sea que esta actividad surgirá la primera decisión acercade los controles que se deberán abordar.

¿Cuáles son esos controles?Aquí los dividiremos en varios grupos y cada uno abarca uno o máscontroles:

–

Política de seguridad (2 controles)