SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN SEGÚN ISO 27001:2005

Resumen
Tanto las personas como las empresas gestionamos información de modo inteligente y variado. La llegada de la computación, internet y de los dispositivos móviles posibilita el mercadeo de nuevos productos y servicios. Teniendo en cuenta la importancia de activo que tiene la información en una empresa se hace necesario tener como primer objetivo la seguridad y organización de esta información; y para esto se hace necesario la implantación de sistemas que aborden esta tarea de forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que esta sometida la información de la organización. La ISO 27001 es una norma que especifica los requisitos para la implantación del sistema de gestión de seguridad de la información (SGSI) y que ha ido tomando fuerza en el ámbito empresarial; tanto que se podría prever que la certificación ISO 27001, será casi obligatoria para cualquier empresa que desee competir en el mercado en el corto plazo [1].

INTRODUCCIÓN SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información, en ingles el equivalente es ISMS (Information Security Management System). El SGSI es el concepto central sobre el que se construye ISO 27001. La norma ISO 27001 tuvo su origen en la norma BSI (British Standards Institution) BS7799-2, esta norma fue publicada por primera vez en 1998 estableciendo los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente. En el año 2002, se revisó la BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión, y para el 15 de octubre de 2005 después de los cambios pertinentes fue publicada la norma ISO 27001. ISO 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información:

nadie la pone en dudad hoy en día. Desde su publicación en 2005. . la norma ha ido haciéndose un hueco cada vez más importante en el ajetreado mundo de la certificación. EVOLUCIÓN DE LA NORMA ISO 27001 La fortaleza de la norma ISO 27001 en cuestión de la seguridad de la información. la norma ISO 27001 esta muy lejos de alcanzar el grado de implantación que este estándar a alcanzado desde su publicación en 1987. espionaje. para un total de 43247 en este periodo. aprovechando cualquiera de las vulnerabilidades existentes. el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos. año en que ISO adoptó el estándar británico BS-7799-2 con la denominación ISO/IEC 27001:2005. pueden someter a activos críticos de información a diversas formas de fraude. se puede observar en las siguientes estadísticas que maneja la empresa CERT cada año sobre el número de vulnerabilidades reportadas a sistemas de información. no obstante y teniendo en cuenta que tanto la sociedad como las empresas que operan en el mercado dependen de una manera absoluta de la información. Vulnerabilidades reportadas [2] En la tabla anterior se puede observar el número de vulnerabilidades reportadas desde el año 1998 hasta el tercer trimestre del 2008. La siguiente es una tabla que permite ver el número de empresas por país que se encontraban certificadas a Febrero de 2009 bajo la norma ISO 27001. Para tener una mejor visión del problema actual en los sistemas de información. parecería lógico pensar que ISO 27001 va ir ganando peso progresivamente en el sector público y privado. sabotaje o vandalismo. Los virus informáticos. Tabla 1. pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos. Sin embargo si se compara esta norma con otros estándares de gestión como por ejemplo la norma ISO 9001.ANTECEDENTES Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que.

implementación. operación. se utiliza el ciclo PHVA que ya es tradicional en los sistemas de gestión de la calidad. revisión.Tabla 3. Para establecer y gestionar un sistema de gestión de la seguridad de la información en base a ISO 27001. mantenimiento y mejora de un SGSI de cualquier organización. • Planear: Establecimiento del SGSI • Hacer: Implementación del SGSI • Verificar: Monitorización y revisión del SGSI • Actuar: Mejora continúa del SGSI . Total Empresas Certificadas ISO 27001 ESTRUCTURA DE LA NORMA ISO 27001:2005 Esta norma fue desarrollada como un modelo para el establecimiento.

Cada tres años se debe realizar una auditoria de re-certificación. directamente. una vez verificada dicha implantación o. el manejo adecuado de la documentación. . esta por se de menor duración se centra en partes fundamentales del sistema y verifica la mejora continua de este.El siguiente es un diagrama que resume la metodología para implementar un SGSI bajo el ciclo PHVA PLANEAR HACER VERIFICAR ACTUAR Figura 1. Estructura Implementación SGSI [3] CERTIFICACION Una vez implantado el sistema según lo antes mencionado. el auditor podrá emitir un informe favorable y el SGSI de organización será certificado según ISO 27001. verifique y certifique la correcta implementación de la norma ISO 27001 en la organización. se debe solicitar la auditoria de un ente certificador externo que analice. la organización deberá implantar acciones correctivas. en el caso de no haberse presentado no conformidades. En el caso de que se descubran durante la auditoría no conformidades graves. el ciclo PHVA. tener evidencia de la responsabilidad de la gerencia y de igual forma del buen funcionamiento del sistema. es decir. debe realizarse una auditoria de mantenimiento del sistema. Cada seis o doce meses.

Entes certificadores Las entidades de certificación son organismos de evaluación de la conformidad. se hallan sujetos al cumplimiento del estándar. mediante la auditoría. que de conformidad con el Decreto 1931 de 2006. a la que la Administración encarga esa tarea. obtuvo su certificación de la norma ISO 27001 en mayo de 2006. La problemática inicial que se plantearon fue sobre la forma de medir el riesgo en la organización. CASO DE ÉXITO EN IMPLANTACIÓN DEL UN SGSI BAJO ISO 27001 Telefónica. por ejemplo los operadores de información. Entidades certificadores en Colombia En Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores. hay más de una). Aunque en la página oficial de ICONTEC. . implementado. verificado y mejorado conforme a lo detallado en la norma. además de la dedicación parcial de las áreas afectadas. certifican. en Colombia conocida por ser dueña de Movistar. En cada país suele haber una sola entidad de acreditación (en algunos. ofrecer a los clientes una base sobre la que ellos puedan certificar sus servicios. que el SGSI de una organización se ha diseñado. En el caso de ISO 27001. ser pioneros en la adopción de estándares de seguridad y manejar una mejora continua de la organización. una empresa española. Para la implementación del SGSI se utilizo la metodólogos del PHVA que les llevo un tiempo de 7 meses con una dedicación completa de 3 consultores. cabe anotar que todas estas empresas fueron certificadas por la BSI (British Standards Institution) que tiene sede en Brasil. Las motivaciones que llevaron a Telefónica a certificarse entre otras están: gestionar el riesgo de manera más eficiente. En Colombia Es la Superintendencia de Industria y comercio. este se muestra como ente certificador de la norma ISO 27001 en la página de la superintendencia de industria y comercio no figura como tal. encargados de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos. la metodología para evaluar que un proveedor tiene mayor seguridad en la información y la manera de alinear la tecnología con los objetivos de la organización. Actualmente existen 5 empresas colombianas certificadas bajo la norma ISO 27001 entre ellas están ETEK empresa que brinda soluciones de seguridad en la información y Ricoh empresa que ofrece soluciones para la gestión integral de documentos.

CONCLUSIONES Se puede prever. será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo.Figura 4. contar con el apoyo de la alta dirección. adaptar la norma a la empresa y no al contrario y trabajar con un objetivo (fecha) definido de certificación. Cronograma implementación SGSI Telefónica Luego de la implantación del SGSI las recomendaciones que hace Telefónica según la experiencia obtenida son. que la certificación ISO-27001. lo cual . acotar bien el alcance dirigido a los procesos mas críticos. hacer campañas de concientización de todos los empleados.

Análisis de ISO 27001:2005. se deben exigir mutuamente niveles concretos y adecuados de seguridad informática. La implementación de un SGSI bajo la norma ISO 27001 sigue el ciclo PHVA conocido en los sistemas de gestión. REFERENCIAS BIBLIOGRÁFICAS [1] Corleti. pues si se desea interrelacionar sistemas de clientes. E.A. entre diferentes organizaciones.es lógico. Madrid España . La integración de esta norma con otros estándares ayuda a un mejor desempeño empresarial. etc. control de inventarios. Como en todo proyecto. productos. sin embargo se debe ser consiente que no existe seguridad absoluta y que el SGSI es una excelente herramienta que ayuda a la gestión y disminución de los riesgos en la seguridad de una compañía. el SGSI bajo la norma ISO 27001 requiere de un equipo de trabajo comprometido y sobre todo concientizado y formado en el tema de seguridad de la información. Un buen SGSI debe ser rentable para la organización. Actualmente el ISO-27001:2005 es el único estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones. La seguridad de la información es un proceso basado en personas y orientado al riesgo. pedidos. tanto por su tamaño como por su actividad. facturación. (2006). sino se abren brechas de seguridad entre sí.

Nexus Asesores . J. ISO 27001:2005. (2006). Disponible en la URL http://www.M.org/stats/ [3] Fernadez.cert.[2] Cataloged vulnerabilities.

Sign up to vote on this title
UsefulNot useful