Cómo implantar un SGSI según UNE-EN ISO/IEC 27001: y su aplicación en el Esquema Nacional de Seguridad. Edición 2018
4/5
()
About this ebook
Asimismo, explica en qué consiste el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010 y modificado por el Real Decreto 951/2015, de obligado cumplimiento en el ámbito de la Administración Electrónica, y su aplicación mediante un sistema de gestión de la seguridad de la información.
Related to Cómo implantar un SGSI según UNE-EN ISO/IEC 27001
Related ebooks
ISO27001/ISO27002: Una guía de bolsillo Rating: 4 out of 5 stars4/5Nueve pasos para el éxito: Una visión de conjunto para la aplicación de la ISO 27001:2013 Rating: 5 out of 5 stars5/5Modelo para el gobierno de las TIC basado en las normas ISO Rating: 5 out of 5 stars5/5Implementación de Calidad de Servicio basado en ISO/IEC 20000: Una Guía de Gestión Rating: 4 out of 5 stars4/5MF0490_3 - Gestión de servicios en el sistema informático Rating: 0 out of 5 stars0 ratingsUF1643 - Gestión y control de los sistemas de Información Rating: 0 out of 5 stars0 ratingsISO/IEC 29110 para procesos software en las pequeñas empresas Rating: 0 out of 5 stars0 ratingsDirección eficaz de Tecnología de la Información Rating: 0 out of 5 stars0 ratingsModelo de madurez de ingeniería del software Versión 2.0 (MMIS V.2) Rating: 0 out of 5 stars0 ratingsAuditoría de seguridad informática. IFCT0109 Rating: 5 out of 5 stars5/5Auditorías y continuidad de negocio. IFCT0510 Rating: 0 out of 5 stars0 ratingsElaboración de la documentación técnica. IFCT0410 Rating: 0 out of 5 stars0 ratingsGuíaburros: Certificados de Calidad: Todo lo que debes saber sobre los Certificado de Calidad Rating: 4 out of 5 stars4/5ISO 45001:2018 Sistemas de gestión de la seguridad y salud en el trabajo. Rating: 2 out of 5 stars2/5Redes de Ordenadores: Aspectos Arquitecturales Rating: 5 out of 5 stars5/5Seguridad en equipos informáticos. IFCT0109 Rating: 0 out of 5 stars0 ratingsGestión de redes telemáticas. IFCT0410 Rating: 0 out of 5 stars0 ratingsGestión de la calidad ISO 9001/2015 en comercio Rating: 0 out of 5 stars0 ratingsISO 14001 para la pequeña empresa Rating: 5 out of 5 stars5/5UF1881 - Resolución de incidencias de redes telemáticas Rating: 0 out of 5 stars0 ratingsGuía práctica para la integración de sistemas de gestión: ISO 9001, ISO 14001 e ISO 45001 Rating: 4 out of 5 stars4/5Principios y marcos de referencia de la gestión de activos Rating: 5 out of 5 stars5/5UF1887 - Operaciones de seguridad en sistemas ERP-CRM y almacén de datos Rating: 0 out of 5 stars0 ratingsGestión de la calidad (ISO 9001/2015) Rating: 4 out of 5 stars4/5Auditoría de Seguridad Informática (MF0487_3): SEGURIDAD INFORMÁTICA Rating: 5 out of 5 stars5/5Dirección de seguridad y gestión del ciberriesgo Rating: 0 out of 5 stars0 ratingsGestión de Incidentes de Seg. Informática (MF0488_3): SEGURIDAD INFORMÁTICA Rating: 0 out of 5 stars0 ratingsAuditoría de seguridad informática: Curso práctico Rating: 5 out of 5 stars5/5Seguridad en Equipos Informáticos (MF0486_3): SEGURIDAD INFORMÁTICA Rating: 4 out of 5 stars4/5
Enterprise Applications For You
Word 2016 Paso a Paso Rating: 5 out of 5 stars5/5Excel 2021 y 365 Paso a Paso: Paso a Paso Rating: 5 out of 5 stars5/5OFFICE 2019 para todos: Fácil y práctico Rating: 0 out of 5 stars0 ratingsDesign Thinking para principiantes: La innovación como factor para el éxito empresarial Rating: 4 out of 5 stars4/5Excel y SQL de la mano: Trabajo con bases de datos en Excel de forma eficiente Rating: 1 out of 5 stars1/5Aprender fórmulas y funciones con Excel 2010 con 100 ejercicios prácticos Rating: 4 out of 5 stars4/5Excel 2016. Paso a paso. 2ª Edición Actualizada: Ventas y marketing Rating: 0 out of 5 stars0 ratingsUn Enfoque de la Arquitectura Empresarial Moderna Potenciada Rating: 0 out of 5 stars0 ratingsAccess 2016: Manual práctico paso a paso Rating: 0 out of 5 stars0 ratingsEstrategias para el Uso de un CRM Rating: 0 out of 5 stars0 ratingsCiencia de datos: La serie de conocimientos esenciales de MIT Press Rating: 5 out of 5 stars5/5Excel 2016 Avanzado: Hojas de cálculo Rating: 2 out of 5 stars2/5Scrum Las Estrategias del Juego: Es Póker, No Ajedrez Rating: 5 out of 5 stars5/5La Revolución del Metaverso Rating: 1 out of 5 stars1/5Descubre los secretos de SAP Ventas y distribucion Rating: 0 out of 5 stars0 ratingsExcel 2016 Paso a Paso Rating: 4 out of 5 stars4/5Bases de datos Rating: 0 out of 5 stars0 ratingsPowerPoint 2016 Paso a Paso Rating: 4 out of 5 stars4/5Programación Visual Basic con Excel 2010: Hojas de cálculo Rating: 4 out of 5 stars4/5Manual de Word 2010 Rating: 5 out of 5 stars5/5Curso de Consultoría TIC. Gestión, Software ERP y CRM Rating: 5 out of 5 stars5/5Manual de Excel 2010 Rating: 0 out of 5 stars0 ratingsINTERNET OF THINGS: Construye nuevos modelos de negocio Rating: 0 out of 5 stars0 ratingsAprender Excel 2016 con 100 ejercicios prácticos Rating: 0 out of 5 stars0 ratingsConexión SQL SERVER & C# (Manual para principiantes) Rating: 1 out of 5 stars1/5Fórmulas DAX para PowerPivot: Una guía simple hacia la revolución de Excel Rating: 5 out of 5 stars5/5Excel 2013 avanzado: Hojas de cálculo Rating: 4 out of 5 stars4/5
Reviews for Cómo implantar un SGSI según UNE-EN ISO/IEC 27001
1 rating0 reviews
Book preview
Cómo implantar un SGSI según UNE-EN ISO/IEC 27001 - Pedro Pablo Fernández Rivero
Créditos
Título: Cómo implantar un SGSI según UNE-EN ISO/IEC 27001 y su aplicación en el Esquema Nacional de Seguridad. Edición 2018. ePUB
Autores: Luis Gómez Fernández y Pedro Pablo Fernández Rivero
© AENOR Internacional, S.A.U., 2018
Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte, sin la previa autorización escrita de AENOR Internacional, S.A.U.
ISBN: 978-84-8143-965-6
Impreso en España – Printed in Spain
Edita: AENOR Internacional, S.A.U.
Maqueta y diseño de cubierta: AENOR Internacional, S.A.U.
Nota: AENOR Internacional, S.A.U. no se hace responsable de las opiniones expresadas por los autores en esta obra.
Génova, 6. 28004 Madrid
Tel.: 914 326 036 • normas@aenor.com • www.aenor.com
Agradecimientos
Los autores quieren expresar su agradecimiento por sus valiosas sugerencias y su colaboración en la revisión técnica de esta publicación, las cuales ayudaron a mejorar su calidad, a:
• D. Miguel Ángel Amutio. Subdirector Adjunto de Coordinación de Unidades TIC. Dirección de Tecnologías de la Información y las Comunicaciones. Ministerio de Hacienda y Administraciones Públicas.
• D. Carlos Manuel Fernández. Asesor estratégico de TIC. AENOR.
• D. Boris Delgado. Gerente de TIC. AENOR.
• D.ª Marta Allué. Responsable Técnica y Auditora Jefe de TIC. AENOR.
Asimismo, agradecemos al Centro Criptológico Nacional su amable colaboración en todas las ocasiones.
Introducción
Con este libro se pretende ofrecer al lector una descripción de los conceptos y requisitos para la implantación efectiva de un Sistema de Gestión de la Seguridad de la Información (SGSI), utilizando para ello el estándar más frecuentemente utilizado: UNE-EN ISO/IEC 27001, en su versión de 2017.
Por otra parte, se incluye un capítulo en relación al Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010 y modificado por el Real Decreto 951/2015, de obligado cumplimiento en el ámbito de la Administración Electrónica, en el que se analizan las similitudes entre UNE-EN ISO/IEC 27001 y ENS y cómo dar cumplimiento a este último mediante un SGSI.
En cualquier caso, esta publicación ofrece una orientación y alternativas para la implantación de un SGSI, presentando ejemplos y casos prácticos, si bien existen otros mecanismos y métodos igualmente válidos.
Otra herramienta importante para la implantación de los requisitos de la Norma UNE-EN ISO/IEC 27001 es la Norma UNE-EN ISO/IEC 27002, que ofrece un conjunto de recomendaciones y buenas prácticas para la implantación de las medidas de seguridad seleccionadas, para lo que se ha incluido un capítulo descriptivo de las mismas.
En el momento de la publicación de este libro, se encuentra próxima la fecha para la aplicación del Reglamento General de Protección de Datos (Reglamento Europeo), que supone un cambio significativo en la manera de gestionar la protección de los datos de carácter personal. Uno de los principios que introduce este reglamento es el de la responsabilidad proactiva, por el que el responsable del tratamiento deberá asegurar el cumplimiento de los principios relativos al tratamiento
y debe ser capaz de demostrarlo. Para ello, deberá realizarse una evaluación de los riesgos sobre las actividades de tratamiento de datos de carácter personal y, en base a los resultados, seleccionar las medidas técnicas y organizativas adecuadas, enfoque que como se verá a lo largo del libro, comparte con UNE-EN ISO/IEC 27001 y con el Esquema Nacional de Seguridad.
Si bien en algunos apartados del libro se hace mención tanto a la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, como al Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla, así como al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), será necesario tener en cuenta las posibles actualizaciones de la legislación estatal en la materia.
1. Los Sistemas de Gestión de la Seguridad de la Información (SGSI)
1.1. Definición de un SGSI
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de procesos que permiten establecer, implementar, mantener y mejorar de manera continua la seguridad de la información, tomando como base para ello los riesgos a los que se enfrenta la organización.
Su implantación supone el establecimiento de procesos formales y una clara definición de responsabilidades en base a una serie de políticas, planes y procedimientos que deberán constar como información documentada.
Fundamentalmente se distinguirán dos tipos de procesos:
1. Procesos de gestión. Controlan el funcionamiento del propio sistema de gestión y su mejora continua.
2. Procesos de seguridad. Se centran en los aspectos relativos a la propia seguridad de la información.
En su versión de 2014, la norma adoptó la estructura del Anexo SL, que posteriormente fue asumido también por otras normas internacionales como UNE-EN ISO 9001:2015 y UNE-EN ISO 14001:2015, lo que permite una mejor integración de sistemas de gestión basados en estas normas, al poseer idéntica estructura y requisitos comunes. De esta manera, para conseguir una gestión más eficiente de los recursos, se recomienda, como norma general, integrar los distintos sistemas de gestión implantados en la organización.
1.2. El ciclo de mejora continua
Una novedad con respecto a anteriores versiones de la norma es la desaparición del ciclo PDCA como marco obligatorio para la gestión de mejora continua, indicando únicamente en su apartado 10.2 que la organización debe mejorar de manera continua la idoneidad, adecuación y eficacia del sistema de gestión de la seguridad de la información
.
No obstante, el ciclo PDCA está implícito en la propia estructura de la norma, por lo que a continuación se desarrolla este modelo de mejora continua que creemos que es necesario conocer. El modelo PDCA o Planificar-Hacer-Verificar-Actuar
(Plan-Do-Check-Act, de sus siglas en inglés), consta de un conjunto de fases que permiten establecer un modelo comparable a lo largo del tiempo, de manera que se pueda medir el grado de mejora alcanzado (véase la figura 1.1):
• Plan. En esta fase se planifica la implantación del SGSI. Se determina el contexto de la organización, se definen los objetivos y las políticas que permitirán alcanzarlos. Se correspondería con los capítulos 4, 5, 6 y 7 de la Norma UNE-EN ISO/IEC 27001:2017.
• Do. En esta fase se implementa y pone en funcionamiento el SGSI. Se ponen en práctica las políticas y los controles que, de acuerdo al análisis de riesgos, se han seleccionado para cumplirlas. Para ello debe de disponerse de procedimientos en los que se identifique claramente quién debe hacer qué tareas, asegurando la capacitación necesaria para ello. Se correspondería con el capítulo 8 de la Norma UNE-EN ISO/IEC 27001:2017.
• Check. En esta fase se realiza la monitorización y revisión del SGSI. Se controla que los procesos se ejecutan de la manera prevista y que además permiten alcanzar los objetivos de la manera más eficiente. Se correspondería con el capítulo 9 de la Norma UNE-EN ISO/IEC 27001:2017.
• Act. En esta fase se mantiene y mejora el SGSI, definiendo y ejecutando las acciones correctivas necesarias para rectificar los fallos detectados en la anterior fase. Se correspondería con el capítulo 10 de la Norma UNE-EN ISO/IEC 27001:2017.
A la hora de diseñar el SGSI, se debe tener en cuenta que sobre el mismo se aplicará un proceso de mejora continua, con lo que conviene partir de una primera versión del mismo adaptado a las necesidades, operativas y recursos de la organización, con unas medidas de seguridad mínimas que permitan proteger la información y cumplir con los requisitos de la norma. Así, el SGSI será mejor adoptado por las personas implicadas, evolucionando de manera gradual y con un menor esfuerzo.
Figura 1.1. Ciclo PDCA
1.3. La Norma UNE-EN ISO/IEC 27001:2017
1.3.1. Novedades en la última versión de la norma
En octubre de 2013 se publicaban las revisiones de las normas internacionales ISO/IEC 27001 (adoptada como norma española en 2014) e ISO/IEC 27002 (adoptada como norma española en 2015) que sustituían a las versiones de 2005.
Como se ha comentado anteriormente, esta norma internacional fue una de las primeras en adoptar el Anexo SL, mejorando así la integración con otros sistemas de gestión. Supuso un cambio importante con respecto a anteriores versiones, incorporando varias diferencias:
• Se incorporó la figura del propietario del riesgo, enfatizando la importancia de gestionar riesgos y oportunidades en lugar de activos.
• Dejó de establecer cómo se deben evaluar los riesgos. En la anterior norma se especificaba la necesidad de identificar activos, amenazas y vulnerabilidades, pero en esta versión únicamente se hacía referencia a identificar los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad de la información
. Así, la identificación de activos, amenazas y vulnerabilidades es una opción recomendable para la evaluación de riesgos, pero se pueden aplicar otras alternativas, haciéndose referencia a la Norma UNE-ISO 31000 Gestión del riesgo. Directrices.
• Desaparecieron las referencias a documentos y registros, pasándose a hablar de información documentada, que puede estar en cualquier soporte (papel o electrónico).
• Se modificó el enfoque en cuanto a la actividad de selección de controles. En anteriores versiones de la norma, se seleccionaban los controles del Anexo A que permitiesen reducir los riesgos a un nivel aceptable. En esta versión el proceso sería, inicialmente, determinar los controles que se consideren necesarios (sin tomar ningún marco como referencia) y posteriormente compararlos con los relacionados en el Anexo A para asegurarse de que no se ha olvidado ninguno.
• Se eliminaron las acciones preventivas, ya que estas pasaron a considerarse acciones derivadas de la gestión de riesgos, si bien nada impide seguir manejando este concepto como en anteriores versiones de la norma.
• Se actualizó el conjunto de controles, pasando de 133 repartidos en 11 secciones, a 114 repartidos en 14 secciones. Aparecieron nuevos controles y desaparecieron otros cuyo contenido se repartió, evitando así anteriores duplicidades.
Posteriormente, en 2014 y 2015, se publicaron dos correcciones a cada una de las normas ISO/IEC 27001:2013 e ISO/IEC 27002:2013 que, si bien no implican cambios sustanciales en la norma, sí permiten una mejor comprensión de algunos de sus objetivos. En concreto:
1. El objetivo del control A.8.1.1 Inventario de activos
pasa de hablar de activos asociados a la información
a hablar de la información y otros activos asociados a la información
.
Esta corrección tiene su reflejo en el propio objetivo del control A.8.1.1, así como en la guía de implantación de los controles A.7.1.2 Términos y condiciones del empleo
y 8.1.3 Uso aceptable de los activos
de ISO/IEC 27002:2013.
2. Se modifica la presentación del apartado 6.1.3.d) de ISO/IEC 27001:2013 en relación a la Declaración de aplicabilidad
para mostrarla como una lista de requisitos.
3. Se corrige un error, en la guía de implantación del control 14.2.8 Pruebas funcionales de seguridad de sistemas
de ISO/IEC 27002:2013, por el que se hacía referencia al control 14.1.9 en lugar de al 14.2.9.
En 2017, estas correcciones se consolidaron en las nuevas versiones de la normas UNE-EN ISO/IEC 27001:2017 e UNE-EN ISO/IEC 27002:2017.
1.3.2. Objeto y campo de aplicación de la norma
Los requisitos de la Norma UNE-EN ISO/IEC 27001, al igual que sucede con otros sistemas de gestión, son aplicables a todo tipo de organizaciones, independientemente de su naturaleza, tamaño o sector de actividad.
Esta norma especifica los requisitos para establecer, implementar, mantener y mejorar de manera continua un SGSI, teniendo en cuenta los objetivos y riesgos de la organización. No obstante, no concreta cómo deben llevarse a cabo estos procesos, existiendo diversas posibilidades de dar cumplimiento a los mismos. Por ejemplo, establece las características que debe cumplir el proceso de evaluación de riesgos, pero no concreta la metodología ni los métodos a seguir. Esto ofrece a la organización flexibilidad a la hora de