Gestin de la seguridad de la informacin

La norma ISO 27001 define cmo organizar la seguridad de la informacin en cualquier tipo de organizacin, con o sin fines de lucro, privada o pblica, pequea o grande. Es posible afirmar que esta norma constituye la base para la gestin de la seguridad de la informacin. La ISO 27001 es para la seguridad de la informacin lo mismo que la ISO 9001 es para la calidad: es una norma redactada por los mejores especialistas del mundo en el campo de seguridad de la informacin y su objetivo es proporcionar una metodologa para la implementacin de la seguridad de la informacin en una organizacin. Tambin permite que una organizacin sea certificada, lo cual significa que una entidad de certificacin independiente ha confirmado que la seguridad de la informacin se ha implementado en esa organizacin de la mejor forma posible. A raz de la importancia de la norma ISO 27001, muchas legislaturas han tomado esta norma como base para confeccionar las diferentes normativas en el campo de la proteccin de datos personales, proteccin de informacin confidencial, proteccin de sistemas de informacin, gestin de riesgos operativos en instituciones financieras, etc.

Cuatro fases del sistema de gestin de seguridad de la informacin

La norma ISO 27001 determina cmo gestionar la seguridad de la informacin a travs de un sistema de gestin de seguridad de la informacin. Un sistema de gestin de este tipo, igual que las normas ISO 9001 o ISO 14001, est formado por cuatro fases que se deben implementar en forma constante para reducir al mnimo los riesgos sobre confidencialidad, integridad y disponibilidad de la informacin. Las fases son las siguientes:

La Fase de planificacin: esta fase sirve para planificar la organizacin bsica y establecer los objetivos de la seguridad de la informacin y para escoger los controles adecuados de seguridad (la norma contiene un catlogo de 133 posibles controles). La Fase de implementacin: esta fase implica la realizacin de todo lo planificado en la fase anterior. La Fase de revisin: el objetivo de esta fase es monitorear el funcionamiento del SGSI mediante diversos canales y verificar si los resultados cumplen los objetivos establecidos. La Fase de mantenimiento y mejora: el objetivo de esta fase es mejorar todos los incumplimientos detectados en la fase anterior. El ciclo de estas cuatro fases nunca termina, todas las actividades deben ser implementadas cclicamente para mantener la eficacia del SGSI.

Documentos de ISO 27001

La norma ISO 27001 requiere los siguientes documentos:

el alcance del SGSI; la poltica del SGSI; procedimientos para control de documentacin, auditoras internas y procedimientos para medidas correctivas y preventivas; todos los dems documentos, segn los controles aplicables; metodologa de evaluacin de riesgos; informe de evaluacin de riesgos; declaracin de aplicabilidad; plan de tratamiento del riesgo; registros. La cantidad y exactitud de la documentacin depende del tamao y de las exigencias de seguridad de la organizacin; esto significa que una docena de documentos sern suficientes para una pequea organizacin, mientras que las organizaciones grandes y complejas tendrn varios cientos de documentos en su SGSI.

La Fase de planificacin
Esta fase est formada por los siguientes pasos:

determinacin del alcance del SGSI; redaccin de una Poltica de SGSI; identificacin de la metodologa para evaluar los riesgos y determinar los criterios para la aceptabilidad de riesgos; identificacin de activos, vulnerabilidades y amenazas; evaluacin de la magnitud de los riesgos; identificacin y evaluacin de opciones para el tratamiento de riesgos; seleccin de controles para el tratamiento de riesgos;

obtencin de la aprobacin de la gerencia para los riesgos residuales; obtencin de la aprobacin de la gerencia para la implementacin del SGSI; redaccin de una declaracin de aplicabilidad que detalle todos los controles aplicables, determine cules ya han sido implementados y cules no son aplicables.

La Fase de implementacin
Esta fase incluye las siguientes actividades:

redaccin de un plan de tratamiento del riesgo que describe quin, cmo, cundo y con qu presupuesto se deberan implementar los controles correspondientes; implementacin de un plan de tratamiento del riesgo; implementacin de los controles de seguridad correspondientes; determinacin de cmo medir la eficacia de los controles; realizacin de programas de concienciacin y capacitacin de empleados; gestin del funcionamiento normal del SGSI; gestin de los recursos del SGSI; implementacin de procedimientos para detectar y gestionar incidentes de seguridad.

La Fase de verificacin
Esta fase incluye lo siguiente:

implementacin de procedimientos y dems controles de supervisin y control para determinar cualquier violacin, procesamiento incorrecto de datos, si las actividades de seguridad se desarrollan de acuerdo a lo previsto, etc.; revisiones peridicas de la eficacia del SGSI; medicin la eficacia de los controles; revisin peridica de la evaluacin de riesgos; auditoras internas planificadas; revisiones por parte de la direccin para asegurar el funcionamiento del SGSI y para identificar oportunidades de mejoras; actualizacin de los planes de seguridad para tener en cuenta otras actividades de supervisin y revisin; mantenimiento de registros de actividades e incidentes que puedan afectar la eficacia del SGSI.

La fase de mantenimiento y mejora

Esta fase incluye lo siguiente:

implementacin en el SGSI de las mejoras identificadas; toma de medidas correctivas y preventivas y aplicacin de experiencias de seguridad propias y de terceros; comunicacin de actividades y mejoras a todos los grupos de inters; asegurar que las mejoras cumplan los objetivos previstos.

Otras normas relacionadas con seguridad de la informacin

Adems de la ISO 27001 (antiguamente BS 7799-2), la norma ISO 27002 (antiguamente ISO 17799) es una norma auxiliar que proporciona ms informacin sobre cmo implementar los controles de seguridad especificados en la ISO 27001. Otras normas que tambin pueden resultar tiles son la ISO 27005, que describe los procedimientos de evaluacin de riesgos con mayor profundidad, y la BS 25999-2, que proporciona una descripcin detallada de la gestin de la continuidad del negocio.