Está en la página 1de 54

2012

IMPLEMENTACIN DE UN SGSI
Definir la Ruta para un Proyecto de SGSI de forma simple y con sentido comn.
Resumen de Buenas Practicas del Gobierno de TI y los aspectos a contemplar en su Implementacin.

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN SGSI


Sistema de Gestin de la Seguridad de la Informacin
El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el concepto central sobre el que se construye ISO 27001.La gestin de la seguridad de la informacin debe realizarse mediante un proceso sistemtico, documentado y conocido por toda la organizacin. Este proceso es el que constituye un SGSI, que podra considerarse, por analoga con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la informacin. Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propsito de un sistema de gestin de la seguridad de la informacin es, por tanto, garantizar que los riesgos de la seguridad de la informacin sean conocidos, asumidos, gestionados y minimizados por la organizacin de una forma documentada, sistemtica, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologas.

Qu es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la Seguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls, siglas de Information Security Management System. En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imgenes, oral, impresa en papel, almacenada electrnicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organizacin o de fuentes externas) o de la fecha de elaboracin. La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de su confidencialidad, integridad y disponibilidad, as como de los sistemas implicados en su tratamiento, dentro de una organizacin. As pues, estos tres trminos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la informacin: Confidencialidad: la informacin no se pone a disposicin ni se revela a individuos, entidades o procesos no autorizados. Integridad: mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Disponibilidad: acceso y utilizacin de la informacin y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Para garantizar que la seguridad de la informacin es gestionada correctamente, se debe hacer uso de un proceso sistemtico, documentado y conocido por toda la organizacin, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.

Para qu sirve un SGSI?


La informacin, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organizacin. La confidencialidad, integridad y disponibilidad de informacin sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organizacin y asegurar beneficios econmicos. Las organizaciones y sus sistemas de informacin estn expuestos a un nmero cada vez ms elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos crticos de informacin a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informticos, el hacking o los ataques de denegacin de servicio son algunos ejemplos comunes y
ITCP de Aspectos para la implementacin de una SGSI.

2 conocidos, pero tambin se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organizacin o aquellos provocados accidentalmente por catstrofes naturales y fallos tcnicos. El cumplimiento de la legalidad, la adaptacin dinmica y puntual a las condiciones variables del entorno, la proteccin adecuada de los objetivos de negocio para asegurar el mximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestin de las organizaciones. El nivel de seguridad alcanzado por medios tcnicos es limitado e insuficiente por s mismo. En la gestin efectiva de la seguridad debe tomar parte activa toda la organizacin, con la gerencia al frente, tomando en consideracin tambin a clientes y proveedores de bienes y servicios. El modelo de gestin de la seguridad debe contemplar unos procedimientos adecuados y la planificacin e implantacin de controles de seguridad basados en una evaluacin de riesgos y en una medicin de la eficacia de los mismos. El Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a establecer estas polticas y procedimientos en relacin a los objetivos de negocio de la organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir. Con un SGSI, la organizacin conoce los riesgos a los que est sometida su informacin y los asume, minimiza, transfiere o controla mediante una sistemtica definida, documentada y conocida por todos, que se revisa y mejora constantemente.

Premisas a cumplir en la implementacin de SGSI:


En este documento se recomiendan seguir los estndares de la informtica que se mencionan a continuacin: 1.- INFORMACIN Y SISTEMA INFORMTICO 2.- ASPECTOS CLAVE EN LA SSI 3.- DEFINICIN DE SEGURIDAD INFORMTICA Confidencialidad Integridad Disponibilidad Autenticidad Imposibilidad de rechazo Consistencia Aislamiento Auditora 4.- POLTICA DE SEGURIDAD 5.- ANLISIS Y GESTIN DE RIESGOS 6.- VULNERABILIDAD, AMENAZAS Y CONTRAMEDIDAS Vulnerabilidad Amenaza Contramedida 7.- TIPOS DE VULNERABILIDAD Vulnerabilidad fsica Vulnerabilidad natural Vulnerabilidad del hardware y del software Vulnerabilidad de los medios o dispositivos Vulnerabilidad por emanacin
ITCP de Aspectos para la implementacin de una SGSI.

Vulnerabilidad de las comunicaciones Vulnerabilidad humana

8.- TIPOS DE AMENAZAS Intercepcin Modificacin Interrupcin Generacin Amenazas naturales o fsicas Amenazas involuntarias Amenazas intencionadas 9.- TIPOS DE MEDIDAS DE SEGURIDAD O CONTRAMEDIDAS Medidas fsicas Medidas lgicas Medidas administrativas Medidas legales 10.- PLANES DE CONTINGENCIA 11.- PRINCIPIOS FUNDAMENTALES DE LA SEGURIDAD INFORMTICA Principio de menor privilegio La seguridad no se obtiene a travs de la oscuridad Principio del eslabn ms dbil Defensa en profundidad Punto de control centralizado 12.- SEGURIDAD EN CASO DE FALLO Participacin universal Simplicidad

Ente regulador de Normas ISO en Guatemala es:


Coguanor.org La certificacin de Auditor Lder se puede gestionar en dicha institucin.

Retos de la implementacin de un SGSI:


Existen 3 grandes obstculos a vencer: Cultura de la Organizacin. Alinear la SGSI con la estrategia del negocio. Comunicar adecuadamente SI.

Implementar un SGSI es un Proyecto?


La respuesta es simple: SI ya que se realiza con alcance especifico, tiempo y costo especificados por la misma. Adems de velar por la calidad y el control de cambios respectivo, por lo que es recomendable que se maneje como un proyecto.

ITCP de Aspectos para la implementacin de una SGSI.

Qu incluye un SGSI?
En el mbito de la gestin de la calidad segn ISO 9001, siempre se ha mostrado grficamente la documentacin del sistema como una pirmide de cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestin de la Seguridad de la Informacin basado en ISO 27001 de la siguiente forma:

Manual de Seguridad.

Procesos y Procedimientos.

Instruccion, Listas de Verificacion, Formularios.

Registros

Documentos de Nivel 1:
Manual de seguridad: por analoga con el manual de calidad, aunque el trmino se usa tambin en otros mbitos. Sera el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, polticas y directrices principales, etc., del SGSI.

Documentos de Nivel 2:
Procesos y Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificacin, operacin y control de los procesos de seguridad de la informacin.

Documentos de Nivel 3
Instrucciones, checklists y formularios: documentos que describen cmo se realizan las tareas y las actividades especficas relacionadas con la seguridad de la informacin.

Documentos de Nivel 4
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; estn asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos. De manera especfica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio):
ITCP de Aspectos para la implementacin de una SGSI.

Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI, incluyendo una identificacin clara de las dependencias, relaciones y lmites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el mbito de influencia del SGSI considere un subconjunto de la organizacin como delegaciones, divisiones, reas, procesos, sistemas o tareas concretas). Poltica y objetivos de seguridad: documento de contenido genrico que establece el compromiso de la direccin y el enfoque de la organizacin en la gestin de la seguridad de la informacin. Procesos y Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI. Enfoque de evaluacin de riesgos: descripcin de la metodologa a emplear (cmo se realizar la evaluacin de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relacin a los activos de informacin contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptacin de riesgo y fijacin de niveles de riesgo aceptables . Informe de evaluacin de riesgos: estudio resultante de aplicar la metodologa de evaluacin anteriormente mencionada a los activos de informacin de la organizacin. Plan de tratamiento de riesgos: documento que identifica las acciones de la direccin, los recursos, las responsabilidades y las prioridades para gestionarlos riesgos de seguridad de la informacin, en funcin de las conclusiones obtenidas de la evaluacin de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc. Procesos y Procedimientos documentados: todos los necesarios para asegurar la planificacin, operacin y control de los procesos de seguridad de la informacin, as como para la medida de la eficacia de los controles implantados. Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. Declaracin de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos, justificando inclusiones y exclusiones.

Control de la documentacin
Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento que defina las acciones de gestin necesarias para: Aprobar documentos apropiados antes de su emisin. Revisar y actualizar documentos cuando sea necesario y renovar su validez. Garantizar que los cambios y el estado actual de revisin de los documentos estn identificados. Garantizar que las versiones relevantes de documentos vigentes estn disponibles en los lugares de empleo. Garantizar que los documentos se mantienen legibles y fcilmente identificables. Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los procedimientos aplicables segn su clasificacin. Garantizar que los documentos procedentes del exterior estn identificados. Garantizar que la distribucin de documentos est controlada. Prevenir la utilizacin de documentos obsoletos. Aplicar la identificacin apropiada a documentos que son retenidos con algn propsito.
ITCP de Aspectos para la implementacin de una SGSI.

Cmo se implementa un SGSI?


Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestin de la calidad.

Plan (planificar): establecer el SGSI. Do (hacer): implementar y utilizar el SGSI. Check (verificar): monitorizar y revisar el SGSI. Act (actuar): mantener y mejorar el SGSI.

Plan: Establecer el SGSI


Definir el alcance del SGSI en trminos del negocio, la organizacin, su localizacin, activos y tecnologas, incluyendo detalles y justificacin de cualquier exclusin. Definir una poltica de seguridad que: Incluya el marco general y los objetivos de seguridad de la informacin dela organizacin; Considere requerimientos legales o contractuales relativos a la seguridad de la informacin; Est alineada con el contexto estratgico de gestin de riesgos de la organizacin en el que se establecer y mantendr el SGSI; Establezca los criterios con los que se va a evaluar el riesgo; Est aprobada por la direccin.

Definir una metodologa de evaluacin del riesgo apropiada para el SGSI y los requerimientos del negocio, adems de establecer los criterios de aceptacin del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodologa es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologas estandarizadas para la evaluacin de riesgos, aunque es perfectamente aceptable definir una propia).

ITCP de Aspectos para la implementacin de una SGSI.

Identificar los riesgos:


Identificar los activos que estn dentro del alcance del SGSI y a sus responsables directos, denominados propietarios; Identificar las amenazas en relacin a los activos; Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas; Identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos.

Analizar y evaluar los riesgos:


Evaluar el impacto en el negocio de un fallo de seguridad que suponga la prdida de confidencialidad, integridad o disponibilidad de un activo de informacin; Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relacin a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estn implementados; Estimar los niveles de riesgo; Determinar, segn los criterios de aceptacin de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado.

Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:


Aplicar controles adecuados; Aceptar el riesgo, siempre y cuando se siga cumpliendo con las polticas y criterios establecidos para la aceptacin de los riesgos; Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan; Transferir el riesgo a terceros, p. ej., compaas aseguradoras o proveedores de outsourcing. Seleccionar los objetivos de control y los controles del Anexo A de ISO27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluacin del riesgo. Aprobar por parte de la direccin tanto los riesgos residuales como la implantacin y uso del SGSI.

ITCP de Aspectos para la implementacin de una SGSI.

Identificar y Analizar
Identificar :
Activos. Amenazas. Vulnerabilidades.

Analizar: Riesgos. Costo / Beneficio.

Direccin. Decidir Tratamiento de Riesgos. Aceptar Riesgo Residual.

Mitigar Riesgo Controles. Seleccionar. SOA. Implamantar

Transferir Riesgo Seguros. Proveedores.

Aceptar Riesgo No hacer Nada.

Planificar
Definir: Alcance Politica Metodologia

Gestin de Riesgos

Evitar Riesgo. Cese de la Actividad que lo Origina.

Definir una declaracin de aplicabilidad que incluya:


Los objetivos de control y controles seleccionados y los motivos para su eleccin; Los objetivos de control y controles que actualmente ya estn implantados; Los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusin; este es un mecanismo que permite, adems, detectar posibles omisiones involuntarias. En relacin a los controles de seguridad, el estndar ISO 27002 (antigua ISO17799) proporciona una completa gua de implantacin que contiene 133 controles, segn 39 objetivos de control agrupados en 11 dominios. Esta norma es referenciada en ISO 27001, en su segunda clusula, en trminos de documento indispensable para la aplicacin de este documento y deja abierta la posibilidad de incluir controles adicionales en el caso de que la gua no contemplase todas las necesidades particulares.
de Aspectos para la implementacin de una SGSI.

ITCP

Do: Implementar y utilizar el SGSI


Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin. Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignacin de recursos, responsabilidades y prioridades. Implementar los controles anteriormente seleccionados que lleven a los objetivos de control. Definir un sistema de mtricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles. Procurar programas de formacin y concienciacin en relacin a la seguridad de la informacin a todo el personal. Gestionar las operaciones del SGSI. Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la informacin. Implantar procedimientos y controles que permitan una rpida deteccin y respuesta a los incidentes de seguridad.

Check: Monitorizar y revisar el SGSI


La organizacin deber: Ejecutar procedimientos de monitorizacin y revisin para: Detectar a tiempo los errores en los resultados generados por el procesamiento de la informacin; Identificar brechas e incidentes de seguridad; Ayudar a la direccin a determinar si las actividades desarrolladas por las personas y dispositivos tecnolgicos para garantizar la seguridad de la informacin se desarrollan en relacin a lo previsto; Detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores; Determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas. Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la poltica y objetivos del SGSI, los resultados de auditoras de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas. Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad. Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organizacin, la tecnologa, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc.-. Realizar peridicamente auditoras internas del SGSI en intervalos planificados. Revisar el SGSI por parte de la direccin peridicamente para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes. Actualizar los planes de seguridad en funcin de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorizacin y revisin. Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.

ITCP de Aspectos para la implementacin de una SGSI.

10

Act: Mantener y mejorar el SGSI


La organizacin deber regularmente: Implantar en el SGSI las mejoras identificadas. Realizar las acciones preventivas y correctivas adecuadas en relacin a la clusula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones. Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder. Asegurarse que las mejoras introducidas alcanzan los objetivos previstos. PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Tngase en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber actividades de implantacin que ya se lleven a cabo cuando otras de planificacin an no han finalizado; o que se monitoricen controles que an no estn implantados en su totalidad.

Qu tareas tiene la Gerencia en un SGSI?


Uno de los componentes primordiales en la implantacin exitosa de un Sistema de Gestin de Seguridad de la Informacin es la implicacin de la direccin. No se trata de una expresin retrica, sino que debe asumirse desde un principio que un SGSI afecta fundamentalmente a la gestin del negocio y requiere, por tanto, de decisiones y acciones que slo puede tomar la gerencia de la organizacin. No se debe caer en el error de considerar un SGSI una mera cuestin tcnica o tecnolgica relegada a niveles inferiores del organigrama; se estn gestionando riesgos e impactos de negocio que son responsabilidad y decisin de la direccin. El trmino Direccin debe contemplarse siempre desde el punto de vista del alcance del SGSI. Es decir, se refiere al nivel ms alto de gerencia de la parte de la organizacin afectada por el SGSI (recurdese que el alcance no tiene por qu ser toda la organizacin). Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la direccin se detallan en los siguientes puntos:

Compromiso de la direccin
La direccin de la organizacin debe comprometerse con el establecimiento, implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del SGSI. Para ello, debe tomar las siguientes iniciativas: Establecer una poltica de seguridad de la informacin. Asegurarse de que se establecen objetivos y planes del SGSI. Establecer roles y responsabilidades de seguridad de la informacin. Comunicar a la organizacin tanto la importancia de lograr los objetivos de seguridad de la informacin y de cumplir con la poltica de seguridad, como sus responsabilidades legales y la necesidad de mejora continua. Asignar suficientes recursos al SGSI en todas sus fases. Decidir los criterios de aceptacin de riesgos y sus correspondientes niveles.
ITCP de Aspectos para la implementacin de una SGSI.

11

Estructurar los DNA de confidencialidad con el personal de la organizacin. Asegurar que se realizan auditoras internas. Realizar revisiones del SGSI, como se detalla ms adelante.

Asignacin de recursos
Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, es imprescindible la asignacin de recursos. Es responsabilidad de la direccin garantizar que se asignan los suficientes para: Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI. Garantizar que los procedimientos de seguridad de la informacin apoyan los requerimientos de negocio. Identificar y tratar todos los requerimientos legales y normativos, as como las obligaciones contractuales de seguridad. Aplicar correctamente todos los controles implementados, manteniendo de esa forma la seguridad adecuada. Realizar revisiones cuando sea necesario y actuar adecuadamente segnlos resultados de las mismas. Mejorar la eficacia del SGSI donde sea necesario. Incorporar la Tecno vigilancia dentro del plan de trabajo.

Formacin y concienciacin
La formacin y la concienciacin en seguridad de la informacin son elementos bsicos para el xito de un SGSI. Por ello, la direccin debe asegurar que todo el personal de la organizacin al que se le asignen responsabilidades definidas en el SGSI est suficientemente capacitado. Se deber: Determinar las competencias necesarias para el personal que realiza tareas en aplicacin del SGSI. Satisfacer dichas necesidades por medio de formacin o de otras acciones como, p. ej., contratacin del personal ya formado. Evaluar la eficacia de las acciones realizadas. Mantener registros de estudios, formacin, habilidades, experiencia y cualificacin. Adems, la direccin debe asegurar que todo el personal relevante est concienciado de la importancia de sus actividades de seguridad de la informacin y de cmo contribuye a la consecucin de los objetivos del SGSI. Informar de la Ingenieria Social utilizada para extraer informacin.

Revisin del SGSI


A la direccin de la organizacin se le asigna tambin la tarea de, al menos una vez al ao, revisar el SGSI, para asegurar que contine siendo adecuado y eficaz. Para ello, debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que se pueden enumerar: Resultados de auditoras y revisiones del SGSI. Observaciones de todas las partes interesadas. Tcnicas, productos o procedimientos que pudieran ser tiles para mejorar el rendimiento y eficacia del SGSI. Informacin sobre el estado de acciones preventivas y correctivas. Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos anteriores. Resultados de las mediciones de eficacia.
ITCP de Aspectos para la implementacin de una SGSI.

12

Estado de las acciones iniciadas a raz de revisiones anteriores de la direccin. Cualquier cambio que pueda afectar al SGSI.

Recomendaciones de mejora.
Basndose en todas estas informaciones, la direccin debe revisar el SGSI y tomar decisiones y acciones relativas a: Mejora de la eficacia del SGSI. Actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos. Modificacin de los procedimientos y controles que afecten a la seguridad de la informacin, en respuesta a cambios internos o externos en los requisitos de negocio, requerimientos de seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios de aceptacin de riesgos. Necesidades de recursos. Mejora de la forma de medir la efectividad de los controles.

Se integra un SGSI con otros sistemas de gestin?


Un SGSI es, en primera instancia, un sistema de gestin, es decir, una herramienta de la que dispone la gerencia para dirigir y controlar un determinado mbito, en este caso, la seguridad de la informacin. La gestin de las actividades de las organizaciones se realiza, cada vez con ms frecuencia, segn sistemas de gestin basados en estndares internacionales: se gestiona la calidad segn ISO 9001, el impacto medio-ambiental segn ISO 14001 o la prevencin de riesgos laborales segn OHSAS 18001. Ahora, se aade ISO 27001 como estndar de gestin de seguridad de la informacin. Las empresas tienen la posibilidad de implantar un nmero variable de estos sistemas de gestin para mejorar la organizacin y beneficios sin imponer una carga a la organizacin. El objetivo ltimo debera ser llegar a un nico sistema de gestin que contemple todos los aspectos necesarios para la organizacin, basndose en el ciclo PDCA de mejora continua comn a todos estos estndares. Las facilidades para la integracin de las normas ISO son evidentes mediante la consulta de sus anexos. ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre esta norma y la ISO 9001 e ISO 14001. Ah se observa la alta correlacin existente y se puede intuir la posibilidad de integrar el sistema de gestin de seguridad de la informacin en los sistemas de gestin existentes ya en la organizacin. Algunos puntos que suponen una novedad en ISO 27001 frente a otros estndares son la evaluacin de riesgos y el establecimiento de una declaracin de aplicabilidad (SOA), aunque ya se plantea incorporar stos al resto de normas en un futuro. En las secciones de FAQS y de Artculos del documento, podr encontrar ms informaciones acerca de la integracin del SGSI con otros sistemas de gestin.

ISO 27000
La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organizacin.

ITCP de Aspectos para la implementacin de una SGSI.

13 Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la organizacin. ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea. En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin (SGSI) basado en ISO 27001.

Origen
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards Institution, la organizacin britnica equivalente a AENOR en Espaa) es responsable de la publicacin de importantes normas como: 1979 Publicacin BS 5750 - ahora ISO 9001 1992 Publicacin BS 7750 - ahora ISO 14001 1996 Publicacin BS 8800 - ahora OHSAS 18001 La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la seguridad de su informacin. La primera parte de la norma (BS 7799-1) es una gua de buenas prcticas, para la que no se establece un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la informacin (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000. En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin. En 2005, con ms de 1700 empresas certificadas en BS7799-2, este esquema se public por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO17799. Esta ltima norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao de publicacin formal de la revisin.

ITCP de Aspectos para la implementacin de una SGSI.

14

En Marzo de 2006, posteriormente a la publicacin de la ISO27001:2005, BSI public la BS77993:2006, centrada en la gestin del riesgo de los sistemas de informacin. La serie 27000 A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044. ISO 27000: En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008. Contendr trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin. Esta norma est previsto que sea gratuita, a diferencia de las dems de la serie, que tendrn un coste. ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habindose establecido unas condiciones de transicin para aquellas empresas certificadas en esta ltima. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeracin de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia, Venezuela y Argentina. El original en ingls y la traduccin al francs pueden adquirirse en ISO.org. ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005.

ITCP de Aspectos para la implementacin de una SGSI.

15 En Espaa, an no est traducida (previsiblemente, a lo largo de 2008). Desde 2006, s est traducida en Colombia (como ISO 17799) y, desde 2007, en Per (como ISO 17799; descarga gratuita). El original en ingls y su traduccin al francs pueden adquirirse en ISO.org. ISO 27003: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2009. Consistir en una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. ISO 27004: En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008. Especificar las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas mtricas se usan fundamentalmente para la medicin de los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA. ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. El conocimiento de los conceptos, modelos, procesos y trminos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intencin de gestionar los riesgos que puedan comprometer la organizacin de la seguridad de la informacin. Su publicacin revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000. En Espaa, esta norma an no est traducida. El original en ingls puede adquirirse en ISO.org. ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s misma. En Espaa, esta norma an no est traducida. El original en ingls puede adquirirse en ISO.org. ISO 27007: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2010. Consistir en una gua de auditora de un SGSI. ISO 27011: En fase de desarrollo; su fecha prevista de publicacin es Enero de 2008. Consistir en una gua de gestin de seguridad de la informacin especfica para telecomunicaciones, elaborada conjuntamente con la ITU (Unin Internacional de Telecomunicaciones). ISO 27031: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2010. Consistir en una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones. ISO 27032: En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009. Consistir en una gua relativa a la ciber seguridad. ISO 27033: En fase de desarrollo; su fecha prevista de publicacin es entre 2010 y 2011. Es una norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad de redes,
ITCP de Aspectos para la implementacin de una SGSI.

16

escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e implementacin de seguridad en redes. Provendr de la revisin, ampliacin y renumeracin de ISO 18028. ISO 27034: En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009. Consistir en una gua de seguridad en aplicaciones. ISO 27799: Publicada el 12 de Junio de 2008. Es un estndar de gestin de seguridad de la informacin en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretacin y aplicacin en la salud informtica de la norma ISO / IEC 27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prcticas para la gestin de la salud y la seguridad de la informacin por organizaciones sanitarias y otros custodios de la informacin sanitaria en base a garantizar un mnimo nivel necesario de seguridad apropiado para la organizacin y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de informacin personal de salud. ISO 27799:2008 se aplica a la informacin en salud en todos sus aspectos y en cualquiera de sus formas, toma la informacin (palabras y nmeros, grabaciones sonoras, dibujos, vdeos e imgenes mdicas), sea cual fuere el medio utilizado para almacenar (de impresin o de escritura en papel o electrnicos de almacenamiento ) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informticas o por correo), ya que la informacin siempre debe estar adecuadamente protegida. El original en ingls o francs puede adquirirse en ISO.org.

Contenido
En esta seccin se hace un breve resumen del contenido de las normas ISO 27001, ISO 27002, ISO 27006 e ISO 27799. Si desea acceder a las normas completas, debe saber que stas no son de libre difusin sino que han de ser adquiridas. Para los originales en ingls, puede hacerlo online en la tienda virtual de la propia organizacin: http://www.iso.org/iso/en/prods-services/ISOstore/store.html Las normas en espaol pueden adquirirse en Espaa en AENOR (vea en la seccin Serie 27000 cules estn ya traducidas): http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp Las entidades de normalizacin responsables de la publicacin y venta de normas en cada pas hispanoamericano (es decir, las homlogas del AENOR espaol) las puede encontrar listadas en nuestra seccin de Enlaces, bajo Acreditacin y Normalizacin. ISO 27001:2005 Introduccin: generalidades e introduccin al mtodo PDCA. Objeto y campo de aplicacin: se especifica el objetivo, la aplicacin y el tratamiento de exclusiones. Normas para consulta: otras normas que sirven de referencia. Trminos y definiciones: breve descripcin de los trminos ms usados en la norma. Sistema de gestin de la seguridad de la informacin: cmo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentacin y control de la misma.

ITCP de Aspectos para la implementacin de una SGSI.

17

Responsabilidad de la direccin: en cuanto a compromiso con el SGSI, gestin y provisin de recursos y concienciacin, formacin y capacitacin del personal. Auditoras internas del SGSI: cmo realizar las auditoras internas de control y cumplimiento. Revisin del SGSI por la direccin: cmo gestionar el proceso peridico de revisin del SGSI por parte de la direccin. Mejora del SGSI: mejora continua, acciones correctivas y acciones preventivas. Objetivos de control y controles: anexo normativo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 27002:2005. Relacin con los Principios de la OCDE: anexo informativo con la correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE. Correspondencia con otras normas: anexo informativo con una tabla de correspondencia de clusulas con ISO 9001 e ISO 14001. Bibliografa: normas y publicaciones de referencia.

ISO 27002:2005 (anterior ISO 17799:2005) Introduccin: conceptos generales de seguridad de la informacin y SGSI. Campo de aplicacin: se especifica el objetivo de la norma. Trminos y definiciones: breve descripcin de los trminos ms usados en la norma. Estructura del estndar: descripcin de la estructura de la norma. Evaluacin y tratamiento del riesgo: indicaciones sobre cmo evaluar y tratar los riesgos de seguridad de la informacin. Poltica de seguridad: documento de poltica de seguridad y su gestin. Aspectos organizativos de la seguridad de la informacin: organizacin interna; terceros. Gestin de activos: responsabilidad sobre los activos; clasificacin de la informacin. Seguridad ligada a los recursos humanos: antes del empleo; durante el empleo; cese del empleo o cambio de puesto de trabajo. Seguridad fsica y ambiental: reas seguras; seguridad de los equipos. Gestin de comunicaciones y operaciones: responsabilidades y procedimientos de operacin; gestin de la provisin de servicios por terceros; planificacin y aceptacin del sistema; proteccin contra cdigo malicioso y descargable; copias de seguridad; gestin de la seguridad de las redes; manipulacin de los soportes; intercambio de informacin; servicios de comercio electrnico; supervisin. Control de acceso: requisitos de negocio para el control de acceso; gestin de acceso de usuario; responsabilidades de usuario; control de acceso a la red; control de acceso al sistema operativo; control de acceso a las aplicaciones y a la informacin; ordenadores porttiles y teletrabajo. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: requisitos de seguridad de los sistemas de informacin; tratamiento correcto de las aplicaciones; controles criptogrficos; seguridad de los archivos de sistema; seguridad en los procesos de desarrollo y soporte; gestin de la vulnerabilidad tcnica. Gestin de incidentes de seguridad de la informacin: notificacin de eventos y puntos dbiles de la seguridad de la informacin; gestin de incidentes de seguridad de la informacin y mejoras. Gestin de la continuidad del negocio: aspectos de la seguridad de la informacin en la gestin de la continuidad del negocio. Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las polticas y normas de seguridad y cumplimiento tcnico; consideraciones sobre las auditoras de los sistemas de informacin. Bibliografa: normas y publicaciones de referencia.
ITCP de Aspectos para la implementacin de una SGSI.

18

Puede descargarse una lista de todos los controles que http://www.iso27000.es/download/ControlesISO27002-2005.pdf

contiene

esta

norma

aqu:

ISO 27006:2007 (Esta norma referencia directamente a muchas clusulas de ISO 17021 - requisitos de entidades de auditora y certificacin de sistemas de gestin-, por lo que es recomendable disponer tambin de dicha norma, que puede adquirirse en espaol en AENOR). Prembulo: presentacin de las organizaciones ISO e IEC y sus actividades. Introduccin: antecedentes de ISO 27006 y gua de uso para la norma. Campo de aplicacin: a quin aplica este estndar. Referencias normativas: otras normas que sirven de referencia. Trminos y definiciones: breve descripcin de los trminos ms usados en la norma. Principios: principios que rigen esta norma. Requisitos generales: aspectos generales que deben cumplir las entidades de certificacin de SGSIs. Requisitos estructurales: estructura organizativa que deben tener las entidades de certificacin de SGSIs. Requisitos en cuanto a recursos: competencias requeridas para el personal de direccin, administracin y auditora de la entidad de certificacin, as como para auditores externos, expertos tcnicos externos y subcontratas. Requisitos de informacin: informacin pblica, documentos de certificacin, relacin de clientes certificados, referencias a la certificacin y marcas, confidencialidad e intercambio de informacin entre la entidad de certificacin y sus clientes. Requisitos del proceso: requisitos generales del proceso de certificacin, auditora inicial y certificacin, auditoras de seguimiento, recertificacin, auditoras especiales, suspensin, retirada o modificacin de alcance de la certificacin, apelaciones, reclamaciones y registros de solicitantes y clientes. Requisitos del sistema de gestin de entidades de certificacin: opciones, opcin 1 (requisitos del sistema de gestin de acuerdo con ISO 9001) y opcin 2 (requisitos del sistema de gestin general). Anexo A - Anlisis de la complejidad de la organizacin de un cliente y aspectos especficos del sector: potencial de riesgo de la organizacin. (tabla orientativa) y categoras de riesgo de la seguridad de la informacin especficas del sector de actividad. Anexo B - reas de ejemplo de competencia del auditor: consideraciones de competencia general y consideraciones de competencia especfica (conocimiento de los controles del Anexo A de ISO 27001:2005 y conocimientos sobre SGSIs). Anexo C - Tiempos de auditora: introduccin, procedimiento para determinar la duracin de la auditora y tabla de tiempos de auditora (incluyendo comparativa con tiempos de auditora de sistemas de calidad - ISO 9001- y medioambientales -ISO 14001-). Anexo D - Gua para la revisin de controles implantados del Anexo A de ISO 27001:2005: tabla de apoyo para el auditor sobre cmo auditar los controles, sean organizativos o tcnicos. ISO 27799:2008 Publicada el 12 de Junio de 2008. Es un estndar de gestin de seguridad de la informacin en el sector sanitario aplicando ISO 17799 (actual ISO 27002).

ITCP de Aspectos para la implementacin de una SGSI.

19 Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretacin y aplicacin en la salud informtica de la norma ISO / IEC 27002 y es un complemento de esa norma. Alcance Referencias (Normativas) Terminologa Simbologa Seguridad de la informacin sanitaria (Objetivos; Seguridad en el gobierno de la informacin; Infomacin sanitara a proteger; Amenazas y vulnerabilidades) Plan de accin prctico para implantar ISO 17799/27002 (Taxonoma; Acuerdo de la direccin; establecimiento, operacin, mantenimiento y mejora de un SGSI; Planning; Doing; Checking, Auditing) Implicaciones sanitarias de ISO 17799/27002 (Poltica de seguridad de la informacin; Organizacin; gestin de activos; RRHH; Fsicos; Comunicaciones; Accesos; Adquisicin; Gestin de Incidentes; Continuidad de negocio; Cumplimiento legal) Anexo A: Amenazas Anexo B: Tareas y documentacin de un SGSI Anexo C: Beneficios potenciales y atributos de herramientas Anexo D: Estndares relacionados.

Beneficios
Establecimiento de una metodologa de gestin de la seguridad clara y estructurada. Reduccin del riesgo de prdida, robo o corrupcin de informacin. Los clientes tienen acceso a la informacin a travs medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial. Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar. Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001, OHSAS 18001). Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Confianza y reglas claras para las personas de la organizacin. Reduccin de costes y mejora de los procesos y servicio. Aumento de la motivacin y satisfaccin del personal. Aumento de la seguridad en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas.

Cmo adaptarse?

ITCP de Aspectos para la implementacin de una SGSI.

20

Arranque del proyecto

ITCP de Aspectos para la implementacin de una SGSI.

21

Compromiso de la Direccin: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Direccin de la organizacin. No slo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciacin que lleva consigo el proceso hacen necesario el impulso constante de la Direccin. Planificacin, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

Planificacin
Definir alcance del SGSI: en funcin de caractersticas del negocio, organizacin, localizacin, activos y tecnologa, definir el alcance y los lmites del SGSI (el SGSI no tiene por qu abarcar toda la organizacin; de hecho, es recomendable empezar por un alcance limitado. Definir poltica de seguridad: que incluya el marco general y los objetivos de seguridad de la informacin de la organizacin, tenga en cuenta los requisitos de negocio, legales y contractuales en cuanto a seguridad, est alineada con la gestin de riesgo general, establezca criterios de evaluacin de riesgo y sea aprobada por la Direccin. La poltica de seguridad es un documento
de Aspectos para la implementacin de una SGSI.

ITCP

22 muy general, una especie de "declaracin de intenciones" de la Direccin, por lo que no pasar de dos o tres pginas. Definir el enfoque de evaluacin de riesgos: definir una metodologa de evaluacin de riesgos apropiada para el SGSI y las necesidades de la organizacin, desarrollar criterios de aceptacin de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologas de evaluacin de riesgos aceptadas internacionalmente (ver seccin de Herramientas); la organizacin puede optar por una de ellas, hacer una combinacin de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones adicionales sobre cmo definirla (en el futuro, ISO 27005 proporcionar ayuda en este sentido). El riesgo nunca es totalmente eliminable -ni sera rentable hacerlo-, por lo que es necesario definir una estrategia de aceptacin de riesgo. Inventario de activos: todos aquellos activos de informacin que tienen algn valor para la organizacin y que quedan dentro del alcance del SGSI. Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario. Identificar los impactos: los que podra suponer una prdida de la confidencialidad, la integridad o la disponibilidad de cada uno de los activos. Anlisis y evaluacin de los riesgos: evaluar el dao resultante de un fallo de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en funcin de los niveles definidos previamente) o requiere tratamiento. Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido (mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma consciente) o transferido (p. ej., con un seguro o un contrato de outsourcing). Seleccin de controles: seleccionar controles para el tratamiento el riesgo en funcin de la evaluacin anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en cuenta que las exclusiones habrn de ser justificadas) y otros controles adicionales si se consideran necesarios. Aprobacin por parte de la Direccin del riesgo residual y autorizacin de implantar el SGSI: hay que recordar que los riesgos de seguridad de la informacin son riesgos de negocio y slo la Direccin puede tomar decisiones sobre su aceptacin o tratamiento. El riesgo residual es el que queda, an despus de haber aplicado controles (el "riesgo cero" no existe prcticamente en ningn caso). Confeccionar una Declaracin de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razn de su seleccin, los controles actualmente implementados y la justificacin de cualquier control del Anexo A excluido. Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.

Implementacin
Definir plan de tratamiento de riesgos: que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin. Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control identificados. Implementar los controles: todos los que se seleccionaron en la fase anterior. Formacin y concienciacin: de todo el personal en lo relativo a la seguridad de la informacin. Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones. Gestionar las operaciones del SGSI y todos los recursos que se le asignen. Implantar procedimientos y controles de deteccin y respuesta a incidentes de seguridad.

ITCP de Aspectos para la implementacin de una SGSI.

23

Seguimiento
Ejecutar procedimientos y controles de monitorizacin y revisin: para detectar errores en resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si las actividades de seguridad de la informacin estn desarrollndose como estaba planificado, detectar y prevenir incidentes de seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para resolver incidentes de seguridad han sido eficaces. Revisar regularmente la eficacia del SGSI: en funcin de los resultados de auditoras de seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los interesados. Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad. Revisar regularmente la evaluacin de riesgos: los cambios en la organizacin, tecnologa, procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado. Realizar regularmente auditoras internas: para determinar si los controles, procesos y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de seguridad de la organizacin, estn implementados y mantenidos con eficacia y tienen el rendimiento esperado. Revisar regularmente el SGSI por parte de la Direccin: para determinar si el alcance definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la poltica de seguridad o a los objetivos de seguridad de la informacin. Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorizacin y las revisiones. Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.

Mejora continua
Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase anterior. Acciones correctivas: para solucionar no conformidades detectadas. Acciones preventivas: para prevenir potenciales no conformidades. Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle. Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier accin, medida o cambio debe comprobarse siempre.

Aspectos Clave Fundamentales


Compromiso y apoyo de la Direccin de la organizacin. Definicin clara de un alcance apropiado. Concienciacin y formacin del personal. Evaluacin de riesgos exhaustiva y adecuada a la organizacin. Compromiso de mejora continua. Establecimiento de polticas y normas. Organizacin y comunicacin. Integracin del SGSI en la organizacin.

Factores de xito
La concienciacin del empleado por la seguridad. Principal objetivo a conseguir.

ITCP de Aspectos para la implementacin de una SGSI.

24

Realizacin de comits de direccin con descubrimiento continuo de no conformidades o acciones de mejora. Creacin de un sistema de gestin de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados). La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles. La seguridad no es un producto, es un proceso. La seguridad no es un proyecto, es una actividad continua y el programa de proteccin requiere el soporte de la organizacin para tener xito. La seguridad debe ser inherente a los procesos de informacin y del negocio.

Riesgos
Exceso de tiempos de implantacin: con los consecuentes costes descontrolados, desmotivacin, alejamiento de los objetivos iniciales, etc. Temor ante el cambio: resistencia de las personas. Discrepancias en los comits de direccin. Delegacin de todas las responsabilidades en departamentos tcnicos. No asumir que la seguridad de la informacin es inherente a los procesos de negocio. Planes de formacin y concienciacin inadecuados. Calendario de revisiones que no se puedan cumplir. Definicin poco clara del alcance. Exceso de medidas tcnicas en detrimento de la formacin, concienciacin y medidas de tipo organizativo. Falta de comunicacin de los progresos al personal de la organizacin.

Consejos bsicos
Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de trabajo, un proceso de negocio clave, un nico centro de proceso de datos o un rea sensible concreta; una vez conseguido el xito y observados los beneficios, ampliar gradualmente el alcance en sucesivas fases. Comprender en detalle el proceso de implantacin: iniciarlo en base a cuestiones exclusivamente tcnicas es un error frecuente que rpidamente sobrecarga de problemas la implantacin; adquirir experiencia de otras implantaciones, asistir a cursos de formacin o contar con asesoramiento de consultores externos especializados. Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados. La autoridad y compromiso decidido de la Direccin de la empresa incluso si al inicio el alcance se restringe a un alcance reducido- evitarn un muro de excusas para desarrollar las buenas prcticas, adems de ser uno de los puntos fundamentales de la norma. La certificacin como objetivo: aunque se puede alcanzar la conformidad con la norma sin certificarse, la certificacin por un tercero asegura un mejor enfoque, un objetivo ms claro y tangible y, por lo tanto, mejores opciones de alcanzar el xito. No reinventar la rueda: aunque el objetivo sea ISO 27001, es bueno obtener informacin relativa a la gestin de la seguridad de la informacin de otros mtodos y marcos reconocidos. Servirse de lo ya implementado: otros estndares como ISO 9001 son tiles como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a auditores internos y responsables de otros sistemas de gestin. Reservar la dedicacin necesaria diaria o semanal: el personal involucrado en el proyecto debe ser capaz de trabajar con continuidad en el proyecto.

ITCP de Aspectos para la implementacin de una SGSI.

25

Registrar evidencias: deben recogerse evidencias al menos tres meses antes del intento de certificacin para demostrar que el SGSI funciona adecuadamente.

Otros Estndares
Las normas publicadas bajo la serie ISO 27000 son estndares alineados con el conjunto de normas publicadas por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) actuales o futuras y que son desarrolladas mediante comits tcnicos especficos. Aquellas organizaciones que ya empleen algn estndar o conjunto de buenas prcticas en seguridad de la informacin en base a otros modelos de gestin, obtendrn el beneficio de una adaptacin y certificacin en la norma ISO 27001 con un menor esfuerzo. En relacin a la seguridad de la informacin, gestin del riesgo, continuidad de negocio y materias relacionadas, se incluye a continuacin una seleccin de los estndares y mtodos de referencia ms conocidos y relevantes. Adems de los aqu resumidos, existen muchos otros estndares, guas, metodologas y buenas prcticas dedicados a distintos aspectos de la seguridad de la informacin, publicados por prestigiosas instituciones en todo el mundo.

ISO/IEC 20000
Es el primer estndar internacional certificable para la gestin de servicios TI. Proviene del estndar britnico BS 15000. ISO 20000-1: especificaciones en las cuales se describe la adopcin de un proceso de mejora integrado para el desempeo y gestin de los servicios acorde a los requisitos del negocio y del cliente. Este documento comprende 10 secciones: Alcance, Trminos y definiciones, Requisitos de un sistema de gestin, Planificacin e implantacin de la gestin de servicio, Planificacin e implantacin de servicios nuevos o modificados, Proceso de entrega de servicios, Procesos de relacin, Procesos de resolucin, Procesos de control y Procesos de liberacin. ISO 20000-2: cdigo de prcticas donde se describen las mejores prcticas para la gestin de los servicios y dentro del mbito indicado por la norma ISO 20000-1. ISO 20000 incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma predecesora BS 15000, fue inicialmente desarrollada para indicar las mejores prcticas contenidas dentro del marco ITIL. Por tanto, aunque ITIL no es de obligada aplicacin para la implantacin en la norma ISO 20000, s suele ser una adecuada referencia para aquellas organizaciones que desean la implantacin de ste norma mediante la introduccin de un paso intermedio.

ITCP de Aspectos para la implementacin de una SGSI.

26

ITIL
IT Infrastructure Library (ITIL) es un conjunto de publicaciones para las mejores prcticas en la gestin de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas segn necesidades, circunstancias y experiencia de cada proveedor de servicios.

Fue integrada en las series BS 15000 (ISO 20000 desde Diciembre 2005) con el consenso de BSI, itSMF y OGC, con el propsito de que los dos conjuntos de publicaciones formen parte de la misma estructura lgica para mejor comprensin en su publicacin y difusin.

ITCP de Aspectos para la implementacin de una SGSI.

27 ITIL sirve de base para el estndar ISO 20000 y consta de 7 bloques principales: Managers Set, Service Support, Service Delivery, Software Support, Networks, Computer Operations y Environmental: Las reas cubiertas por ITIL en cada documento publicado por la OGC son: Soporte al servicio: asegurar que el cliente (externo o interno) recibe adecuadamente un servicio, que es gestionado adems de la mejor forma posible. Entrega del servicio: administracin de los servicios de soporte y mantenimiento que se prestan al cliente. Planificacin de la implantacin: determina las ventajas de implantar ITIL en una determinada organizacin. Administracin de aplicaciones: conjunto de buenas prcticas para la gestin de todo el ciclo de vida de las aplicaciones, centrndose sobre todo en definicin de requisitos e implementacin de soluciones. Administracin de la infraestructura de tecnologas de la informacin y comunicaciones: gestin de la administracin de sistemas como mquinas, redes o sistemas operativos, entre otros. Administracin de seguridad: proceso para la implantacin de requerimientos de seguridad; relaciona las reas ITIL de soporte y entrega de servicio. Administracin de activos de software: pautas necesarias para la gestin del software adquirido y/o de desarrollo propio. Entrega de servicios desde un punto de vista de negocio: fidelizacin de clientes, servicios de externalizacin y gestin del cambio, entre otro

COBIT
El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administracin, seguridad y aseguramiento TI.

Como consecuencia de su rpida difusin internacional, ambas instituciones disponen de una amplia gama de publicaciones y productos diseados para apoyar una gestin efectiva de las TI en el mbito de la empresa.

ITCP de Aspectos para la implementacin de una SGSI.

28 Uno de sus documentos ms conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para tecnologas de la informacin y similares). Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) y COSO, que incorpora aspectos fundamentales de otros estndares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado segn las prcticas sealadas por COBIT estn ms cerca de adaptarse y lograr la certificacin en ISO 27001. CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 44 procesos de TI. Cada proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos de control detallados, directrices de gestin y el modelo de madurez para el objetivo) que dan una visin completa de cmo controlar, gestionar y medir el proceso. Utiliza un ciclo de vida de tipo PDCA que lo integra en los procesos de negocio. No existe un certificado en las prcticas indicadas por CobiT, aunque ISACA s ofrece la posibilidad a ttulo personal de obtener certificaciones como Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) y "Certified in the Governance of Enterprise IT" CGEIT.

ISO 27001
ISO 27001 (evolucionada a partir de BS 7799-2) indica que las organizaciones deben identificar, evaluar, tratar y gestionar los riesgos de seguridad de la informacin, pero no da indicaciones ms detalladas de

ITCP de Aspectos para la implementacin de una SGSI.

29 cmo realizar dicho proceso ni de cmo situar dichos riesgos en el marco de los riesgos generales de la empresa. BS7799-3 profundiza en estos aspectos y da directrices sobre evaluacin de riesgos, tratamiento de riesgos, toma de decisiones por parte de la Direccin, re-evaluacin de riesgos, monitorizacin y revisin del perfil de riesgo, riesgos de seguridad de la informacin en el contexto del gobierno corporativo y conformidad con otros estndares y regulaciones sobre el riesgo.

COSOCOSO-ENTERPRISE RISK MANAGEMENT / SOX


El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido una definicin comn de controles internos, normas y criterios contra los cuales las empresas y organizaciones pueden evaluar sus sistemas de control. COSO est patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of Management Accountants (IMA). El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de 1995 y COSO de 1992/94). Existe una relacin directa entre los objetivos que la entidad desea lograr y
ITCP de Aspectos para la implementacin de una SGSI.

30 los componentes de la gestin de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relacin se representa con una matriz tridimensional, en forma de cubo.

Las cuatro categoras de objetivos (estrategia, operaciones, informacin y conformidad) estn representadas por columnas verticales, los ocho componentes lo estn por filas horizontales y las unidades de la entidad, por la tercera dimensin del cubo. Desde este enlace se puede acceder a la lista completa de publicaciones que incorpora. Informacin adicional en el informe ejecutivo y marco general de la norma. COSO se puede combinar con CobiT o con ITIL como modelo de control para procesos y gestin TI. COSO est teniendo una difusin muy importante en relacin a la conocida como Ley Sarbanes-Oxley. No se trata de un marco o estndar especfico de seguridad de la informacin pero, por el impacto que est teniendo en muchas empresas y por sus implicaciones indirectas en la seguridad de la informacin, conviene mencionarlo en esta seccin. La Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para proteger a los inversores frente a una falsa presentacin de la situacin de las empresas. Entr en vigor el 30 de julio de 2002 y tiene validez tanto para empresas nacionales estadounidenses como para extranjeras que coticen en las bolsas de aquel pas. Adems del registro en un servicio de inspeccin pblica, SOX exige el establecimiento de un sistema de control interno para la elaboracin de informes financieros. La ley requiere una mayor transparencia de informacin, ampla los deberes de publicacin y formaliza los procesos que preceden a la elaboracin de un informe de la empresa. Es la ya famosa Seccin 404 la que establece que la gerencia debe generar un informe anual de control interno, en el cual se confirme la responsabilidad de la direccin en la implantacin y mantenimiento de unos procedimientos y una estructura de control interno adecuados para la informacin financiera. El marco ms empleado por las empresas para cumplir con esta obligacin es, precisamente, el de gestin del riesgo empresarial de COSO. Este sistema de control tiene tambin un importante reflejo en el rea de seguridad de la informacin. Uno de los marcos que ms se utilizan para implantar el sistema en esta rea es CobiT. Ms especficamente,
ITCP de Aspectos para la implementacin de una SGSI.

31 ISACA ha publicado un documento de controles TI para Sarbanes-Oxley, basado en directrices de COSO, con referencias cruzadas a CobiT. Certificacin 7799quiere La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto quiere decir que la organizacin que tenga implantado un SGSI puede solicitar una auditora a una entidad certificadora acreditada y, caso de superar la misma con xito, obtener una certificacin del sistema segn ISO 27001. En las siguientes secciones, se abordan diferentes temas relacionados con la certificacin.

Implantacin del SGSI


Evidentemente, el paso previo a intentar la certificacin es la implantacin en la organizacin del sistema de gestin de seguridad de la informacin segn ISO 27001. Este sistema deber tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditora para su primera certificacin. ISO 27001 exige que el SGSI contemple los siguientes puntos: Implicacin de la Direccin. Alcance del SGSI y poltica de seguridad. Inventario de todos los activos de informacin. Metodologa de evaluacin del riesgo.
ITCP de Aspectos para la implementacin de una SGSI.

32 Identificacin de amenazas, vulnerabilidades e impactos. Anlisis y evaluacin de riesgos. Seleccin de controles para el tratamiento de riesgos. Aprobacin por parte de la direccin del riesgo residual. Declaracin de aplicabilidad. Plan de tratamiento de riesgos. Implementacin de controles, documentacin de polticas, procesos y procedimientos e instrucciones de trabajo TI. Definicin de un mtodo de medida de la eficacia de los controles y puesta en marcha del mismo. Formacin y concienciacin en lo relativo a seguridad de la informacin a todo el personal. Monitorizacin constante y registro de todas las incidencias. Realizacin de auditoras internas. Evaluacin de riesgos peridica, revisin del nivel de riesgo residual, del propio SGSI y de su alcance. Mejora continua del SGSI. La documentacin del SGSI deber incluir: Poltica y objetivos de seguridad. Alcance del SGSI. Procesos y Procedimientos y controles que apoyan el SGSI. Descripcin de la metodologa de evaluacin del riesgo. Informe resultante de la evaluacin del riesgo. Plan de tratamiento de riesgos. Procesos de planificacin, manejo y control de los procesos de seguridad de la informacin y de medicin de la eficacia de los controles. Registros. Declaracin de aplicabilidad (SOA -Statement of Applicability-). Procedimiento de gestin de toda la documentacin del SGSI. Hay una serie de controles clave que un auditor va a examinar siempre en profundidad: Poltica de seguridad. Asignacin de responsabilidades de seguridad por medio de una RACSI. Formacin y capacitacin para la seguridad. Registro de incidencias de seguridad. Gestin de continuidad del negocio. Proteccin de datos personales. Salvaguarda de registros de la organizacin. Derechos de propiedad intelectual.

ITCP de Aspectos para la implementacin de una SGSI.

33

ITCP de Aspectos para la implementacin de una SGSI.

34 El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO 14001). La propia norma ISO 27001 incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentacin necesaria, con objeto de facilitar la integracin. Es recomendable integrar los diferentes sistemas, en la medida que sea posible y prctico. En el caso ideal, es posible llegar a un solo sistema de gestin y control de la actividad de la organizacin, que se puede auditar en cada momento desde la perspectiva de la seguridad de la informacin, la calidad, el medio ambiente o cualquier otra. Auditora y certificacin Una vez implantado el SGSI en la organizacin, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditora y certificacin, que se desarrolla de la siguiente forma: Solicitud de la auditora por parte del interesado a la entidad de certificacin y toma de datos por parte de la misma. Respuesta en forma de oferta por parte de la entidad certificadora. Compromiso. Designacin de auditores, determinacin de fechas y establecimiento conjunto del plan de auditora. Pre-auditora: opcionalmente, puede realizarse una auditora previa que aporte informacin sobre la situacin actual y oriente mejor sobre las posibilidades de superar la auditora real. Fase 1 de la auditora: no necesariamente tiene que ser in situ, puesto que se trata del anlisis de la documentacin por parte del Auditor Jefe y la preparacin del informe de la documentacin bsica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarn en la Fase 2. Este informe se enva junto al plan de auditora al cliente. El periodo mximo entre la Fase 1 y Fase 2 es de 6 meses. Fase 2 de la auditora: es la fase de detalle de la auditora, en la que se revisan in situ las polticas, la implantacin de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunin de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, as como posibles cambios de ltima hora. Se realiza una revisin de las exclusiones segn la Declaracin de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantacin de polticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de inters. Finaliza con una reunin de cierre en la que se presenta el informe de auditora. Certificacin: en el caso de que se descubran durante la auditora no conformidades graves, la organizacin deber implantar acciones correctivas; una vez verificada dicha implantacin o, directamente, en el caso de no haberse presentado no conformidades, el auditor podr emitir un informe favorable y el SGSI de organizacin ser certificado segn ISO 27001. Auditora de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditora de mantenimiento; esta auditora se centra, generalmente, en partes del sistema, dada su menor duracin, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua. Auditora de re-certificacin: cada tres aos, es necesario superar una auditora de certificacin formal completa como la descrita.

ITCP de Aspectos para la implementacin de una SGSI.

35

ITCP de Aspectos para la implementacin de una SGSI.

36 Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente, en BS 7799-2) por entidades acreditadas figuran listadas en http://www.iso27001certificates.com. Para aquellas organizaciones que lo han autorizado, tambin est publicado el alcance de certificacin. Naturalmente, la organizacin que implanta un SGSI no tiene la obligacin de certificarlo. Sin embargo, s es recomendable ponerse como objetivo la certificacin, porque supone la oportunidad de recibir la confirmacin por parte de un experto ajeno a la empresa de que se est gestionando correctamente la seguridad de la informacin, aade un factor de tensin y de concentracin en una meta a todos los miembros del proyecto y de la organizacin en general y enva una seal al mercado de que la empresa en cuestin es confiable y es gestionada transparentemente. La entidad de certificacin Las entidades de certificacin son organismos de evaluacin de la conformidad, encargados de evaluar y realizar una declaracin objetiva de que los servicios y productos cumplen unos requisitos especficos. En el caso de ISO 27001, certifican, mediante la auditora, que el SGSI de una organizacin se ha diseado, implementado, verificado y mejorado conforme a lo detallado en la norma. Existen numerosas entidades de certificacin en cada pas, ya que se trata de una actividad empresarial privada con un gran auge en el ltimo par de dcadas, debido a la creciente estandarizacin y homologacin de productos y sistemas en todo el mundo. La organizacin que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidindose por la ms conveniente, como hace con cualquier otro producto o servicio. Para que las entidades de certificacin puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditacin, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificacin para la actividad objeto de acreditacin. En cada pas suele haber una sola entidad de acreditacin (en algunos, hay ms de una), a la que la Administracin encarga esa tarea. En Espaa, es ENAC (Entidad Nacional de Acreditacin); para otros pases, puede consultarse una lista. La acreditacin de entidades de certificacin para ISO 27001 o para BS 7799-2 -antes de derogarsesuele hacerse en base al documento EA 7/03 "Directrices para la acreditacin de organismos operando programas de certificacin/registro de sistemas de gestin de seguridad en la informacin". En el futuro, ser la norma ISO 27006 la que regule directamente estas cuestiones. Las entidades de acreditacin establecen acuerdos internacionales para facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones como IAF (International Accreditation Forum) o EA (European co-operation for Accreditation). El auditor El auditor es la persona que comprueba que el SGSI de una organizacin se ha diseado, implementado, verificado y mejorado conforme a lo detallado en la norma. En general, se distinguen tres clases de auditores: De primera parte: auditor interno que audita la organizacin en nombre de s misma, normalmente, como mantenimiento del sistema de gestin y como preparacin a la auditora de certificacin; De segunda parte: auditor de cliente, es decir, que audita una organizacin en nombre de un cliente de la misma; por ejemplo, una empresa que audita a su proveedor de outsourcing;

ITCP de Aspectos para la implementacin de una SGSI.

37

De tercera parte: auditor independiente, que audita una organizacin como tercera parte imparcial; normalmente, porque la organizacin tiene la intencin de lograr la certificacin y contrata para ello los servicios de una entidad de certificacin.

El auditor, sobre todo si acta como de tercera parte, ha de disponer tambin de una certificacin personal. Esto quiere decir que, nuevamente un tercero, certifica que posee las competencias profesionales y personales necesarias para desempear la labor de auditora de la materia para la que est certificado. En este punto, hay pequeas diferencias entre las entidades certificadoras, que pueden formular requisitos distintos para homologar a sus auditores. Pero, en general, la certificacin de auditores se cie a la norma ISO 19011 de directrices para la auditora de sistemas de gestin, que dedica su punto 7 a la competencia y evaluacin de los auditores. Al auditor se le exigen una serie de atributos personales, conocimientos y habilidades, educacin formal, experiencia laboral y formacin como auditor. Existen diversas organizaciones internacionales de certificacin de auditores, con el objeto de facilitar la estandarizacin de requerimientos y garantizar un alto nivel de profesionalidad de los auditores, adems de homologar a las instituciones que ofrecen cursos de formacin de auditor. Algunas de estas organizaciones son IRCA, RABQSA o IATCA. IRCA (International Register of Certificated Auditors) es el mayor organismo mundial de certificacin de auditores de sistemas de gestin. Tiene su sede en el Reino Unido y, por ello -debido al origen ingls de la norma BS 7799-2 y, por tanto, de ISO 27001-, tiene ya desde hace aos un programa de certificacin de auditores de sistemas de gestin de seguridad de la informacin. Su pgina web, tambin en espaol, es una buena fuente de consulta de los requisitos y los grados de auditor. Dispone de un enlace directo a las ltimas novedades del IRCA desde nuestra seccin de boletines. En cuanto a la prctica de la auditora, al auditor se le exige que se muestre tico, con mentalidad abierta, diplomtico, observador, perceptivo, verstil, tenaz, decidido y seguro de s mismo. Estas actitudes son las que deberan crear un clima de confianza y colaboracin entre auditor y auditado. El auditado debe tomar el proceso de auditora siempre desde un punto de vista constructivo y de mejora continua, y no de fiscalizacin de sus actividades. Para ello, el auditor debe fomentar en todo momento un ambiente de tranquilidad, colaboracin, informacin y trabajo conjunto.

O - ISM3
O - ISM3 Open Information Security Management Maturity Model (ISM Cubo) es un estndar de madurez de seguridad de la informacin compatible con la implantacin de ISO 27001, CobiT, ITIL e ISO 9001, La publicacin del ISM3 (Information Security Management Maturity Model) ofrece un nuevo enfoque de los sistemas de gestin de seguridad de la informacin (ISM). ISM3 nace de la observacin del contraste existente entre el nmero de organizaciones certificadas ISO9000 (unas 350,000), y las certificadas BS7799-2:2002 (unos cientos en todo el mundo). ISM3 pretende cubrir la necesidad de un estndar simple y aplicable de calidad para sistemas de gestin de la seguridad de la informacin.

ITCP de Aspectos para la implementacin de una SGSI.

38 ISM3 proporciona un marco para ISM que puede utilizarse tanto por pequeas organizaciones que realizan sus primeros esfuerzos, como a un nivel alto de sofisticacin por grandes organizaciones como parte de sus procesos de seguridad de la informacin... Al igual que otros estndares del ISECOM, ISM3 se proporciona con una licencia de cdigo libre, tiene una curva de aprendizaje suave, y puede utilizarse para fortalecer sistemas ISM en organizaciones que utilicen estndares como COBIT, ITIL, CMMI y ISO17799. Est estructurado en niveles de madurez, de modo que cada organizacin puede elegir un nivel adecuado para su negocio, y cubrir ese objetivo en varias etapas. En lugar de depender exclusivamente de mtodos caros de anlisis de riesgos, que suponen una barrera a la implantacin de sistemas de ISM, ISM3 sigue un punto de vista cualitativo, empezando por analizar los requerimientos de seguridad del negocio. Permite a la empresa aprovechar la infraestructura actual, fortalecindola mediante un sistema de calidad, y alcanzado niveles de madurez certificables segn el sistema de ISM evoluciona. Utiliza un modelo de gestin para diferenciar las tareas de seguridad operativa que previenen y mitigan incidentes de las tareas estratgicas y tcticas que identifican los activos a proteger, las medidas de seguridad a emplear, y los recursos que han de dedicarse a estas. Se describe un proceso de certificacin que permite a una organizacin autoevaluar su madurez, o bien obtener una certificacin de un auditor independiente. La publicacin de ISM3 v1.20 (Information Security Management Maturity Model, que se pronuncia ISM cubo) ofrece muchas ventajas para la creacin de sistemas de gestin de la seguridad de la informacin. ISM3 por s solo o para mejorar sistemas basados en ITIL, ISO27001 o COBIT. ISM3 pretende alcanzar un nivel de seguridad definido, tambin conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la informacin el garantizar la consecucin de objetivos de negocio. La visin tradicional de que la seguridad de la informacin trata de la prevencin de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organizacin con los objetivos de seguridad (como dar acceso a las bases de datos slo a los usuarios autorizados)... Algunas caractersticas significativas de ISM3 son: Mtricas de Seguridad de la Informacin - "Lo que no se puede medir, no se puede gestionar, y lo que no se puede gestionar, no se puede mejorar" - ISM3 v1.20 hace de la seguridad un proceso medible mediante mtricas de gestin de procesos, siendo probablemente el primer estndar que lo hace. Esto permite la mejora continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestin de seguridad de la informacin. Niveles de Madurez ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus cinco niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organizacin y a los recursos que estn disponibles. Basado el Procesos - ISM3 v1.20 est basado en procesos, lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestin de TIC. El uso de ISM3 fomenta la colaboracin entre proveedores y usuarios de seguridad de la informacin, dado que la externalizacin de procesos de seguridad se simplifica gracias a mecanismos explcitos, como los ANS y la distribucin de responsabilidades. Adopcin de las Mejores Prcticas Una implementacin de ISM3 tiene ventajas como las extensas referencias a estndares bien conocidos en cada proceso, as como la distribucin
ITCP de Aspectos para la implementacin de una SGSI.

39 explcita de responsabilidades entre los lderes, gestores y el personal tcnico usando el concepto de gestin Estratgica, Tctica y Operativa. Certificacin Los sistemas de gestin basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto tambin puede ser atractivo para organizaciones que ya estn certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001. Accesible Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Informacin como una inversin y no como una molestia, dado que es mucho ms sencillo medir su rentabilidad y comprender su utilidad.

Gobierno de TI - ITIL - COBIT SGSI = O ISM3


El gobierno de TI ha cobrado importancia en los ltimos aos y TI tiene un papel fundamental que desempear en la mejora de sus buenas prcticas de gobierno corporativo. La administracin de riesgos se ha sensibilizado y hay una mayor conciencia creciente del compromiso de llevar a cabo una gestin de control para las distintas actividades de TI. Aunque la palabra Gobierno de TI es relativamente nueva como disciplina definida ha evolucionado a grandes pasos pero se est buscando que el enfoque sea ms especfico en cuando a la mejora de la gestin de control y de tecnologas de informacin. La creacin de nuevas tecnologas y oportunidades de negocio implican cada vez un riesgo mayor que pueden afectar la continuidad del negocio, la seguridad de la informacin y la falta de reconocimiento para poder aplicar eficientemente cambios organizacionales. Hay muchos riesgos del pasado y otros que han ido surgiendo, pero lo que s es claro es que estn siendo visibles y que definitivamente hay que empezar a tratarlos y a hacerlos parte de los planes estratgicos de la organizacin. En el mundo de la informtica, el tema de Gobierno de TI ha cobrado importancia y se han creado muchas definiciones entorno a este concepto. La forma para empezar a definir este tema es traduciendo la palabra que viene del latn Gubernance que no significa otra diferente a dirigir o guiar, pero existe un instituto llamado: Instituto de Gobierno de TI (ITGI), el cual hacen su definicin as: Gobierno de TI es responsabilidad de los ejecutivos y del Consejo de Direccin, y consiste del liderazgo, estructura organizacional y procesos que garantizan que la TI corporativa, sustente y prolongue las estrategias y objetivos de la organizacin[1]. Por otra parte encontramos dos grandes investigadores de la Escuela de Administracin de Sloan del MIT, Jeanne Ross y Peter Weill quien dicen: El gobierno de TI es especificar los derechos de decidir y el marco de rendicin de cuentas que obligan a comportamientos deseados en el uso de la TI. Esta definicin de gobierno de TI aspira a capturar la simpleza de este gobierno: derechos de decisin, rendicin de cuentas y comportamiento deseado que son diferentes en cada organizacin. Si bien podemos encontrar muchas otras definiciones sobre el Gobierno de TI, lo que si se tiene claro es que el un buen gobierno debe proveer estructuras que logre unir los distintos procesos de TI, los recursos, la informacin y los objetivos, por ello entonces llega a la organizacin definiciones como: Alineacin del negocio de TI Administracin del portafolio Administracin de Valor Administracin de recursos Administracin de beneficios
ITCP de Aspectos para la implementacin de una SGSI.

40

Administracin de Riesgos

Es esta ltima definicin en la cual se concentrar este estudio, ya que la conciencia del riesgo existe y su estado en la organizacin cada da se vuelve ms importante y de necesario tratamiento siempre guardando un equilibrio entre las metas de cumplimiento y desempeo por medio de las acciones del directorio mencionadas anteriormente.

El ncleo del gobierno de TI tiene dos grandes responsabilidades, la entrega de valor al negocio y la mitigacin de riesgos asociados a TI. Se habla entonces de un gobierno corporativo, en donde se abarca un conjunto de relaciones entre la direccin de la compaa, su consejo, sus accionistas y otras partes interesadas en donde se proporciona la estructura a travs de la cual se definen objetivos de la compaa y se determina el medio para alcanzarlos y se supervisa el desempeo. Entonces, el gobierno corporativo llega a formar una vista de la siguiente manera:
GOBIERNO

Gestin de Riesgos

Control Interno

SGSI

El gobierno corporativo est centrado en el rendimiento, los riesgos y el control de las tecnologas de informacin, por tanto la gestin de las tecnologas de informacin tiene su clasificacin basada en: Planeacin de las TI Control de Gestin de TI Administracin de Portafolio de proyectos de TI

ITCP de Aspectos para la implementacin de una SGSI.

41

PETI. Plan Estrategico Negocio. Procesos de Negocio. Aquitectura TI.

ITIL COBIT SGSI ISO 27001 O - ISM3 PMI Gobierno TIC.

Administracin de Portafolio de proyectos de TI

Planeacin Estrtegica de TIC.

Control de Gestin de TI

Portafolio Proyecto TI. Programa de Proyectos TI. Oficna de Proyectos TI. PMI. PM- RISK.

En la parte central de este artculo, control de Gestin de TI, se tiene tambin dos divisiones una igualmente importante que la otra:

Planeacin de las TI Control de Gestin de TI Administracin de Portafolio de proyectos de TI

Cedula Riesgos Plan Riesgos.

Mitigacion Riesgos. Cultura Riesgos. Analisis de SteakHolders. Mitigacion Riesgos.

ITCP de Aspectos para la implementacin de una SGSI.

42

Teniendo en cuenta la ubicacin en donde se est, se puede hacer una definicin de riesgo basados en el Committee AS/NZA4360 de Risk Management que dice: Riesgo expresa la incertidumbre con respecto a eventos futuros o sus consecuencias, los cuales podran afectar el logro de los objetivos. Es percibido como una amenaza o peligro el cual al materializarse podra impactar negativamente a la organizacin. La gestin de riesgo requiere que por parte de la gerencia exista una cultura y conciencia del riesgo y comprensin de tus requerimientos legales y regulatorios basado en la identificacin, valoracin tratamiento, monitoreo y comunicacin de los riesgos y sus impactos. Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de seguridad, tanto para su informacin, como para sus activos entonces para alcanzar estos objetivos la gerencia debe entender muy bien el estado de sus sistemas, controlarlos y asegurarlos y es aqu en donde entran a jugar un papel clave los estndares y mejores prcticas.

ESTNDARES Y MEJORES PRCTICAS SGSI


La utilizacin de unos y otros depende estrictamente de la organizacin, sus prioridades y expectativas. De igual puede adoptarse todo el estndar o solo una parte de ellos pero siempre buscando un mejor desempeo de los procesos de negocios. El gobierno de TI se ha vuelto algo critico debido a los cambios vertiginosos del mundo informtico y generalmente las inversiones en tecnologa solo sirven para atender problemas operativos en vez de generar valor aunque se tiene claro que TI es la forma de ejecutar grandes objetivos empresariales. Por todo esto, la organizacin est constantemente enfrentado desafos y retos y busca alinearse segn su estrategia de TI con el negocio por ello se opt por la bsqueda de una estructura organizacional que facilitara la aplicacin de estrategias y objetivos adoptando un marco de trabajo.
ISO 12207 SOA RUP UML ISHIKAWA ISO 27000 IT RISK ISO 9001:2008 PDAC.

CMMI

SGSI

ITIL
ISO 20000 ISO 20500 PMI O - ISM3

COBIT
VAL IT GOBIERNO TIC ISO 38500 COSO - ERM

ITCP de Aspectos para la implementacin de una SGSI.

43 Por ellos, se piensan en estndares y mejores prcticas para el cumplimiento de objetivos enfocados a la organizacin, el equilibrio y el cumplimiento. COBIT, (Objetivos de control para la informacin y las tecnologas relacionadas) es uno de los primeros framework en preferencia organizacional, ya que ayuda a integrar prcticas tecnolgicas especficas con prcticas generales de alto nivel y se establece un puente entre los riesgos del negocio, los controles que se necesitan y los aspectos tcnicos ms relevantes. Por otro lado, la seguridad de la informacin y la continuidad del negocio son dos componentes crticos de la estrategia futura de muchas instituciones a nivel nacional e internacional Por lo tanto, COBIT est diseado para ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de los riesgos as como de los beneficios asociados con la informacin y sus tecnologas relacionadas. COBIT generalmente es aceptable y aplicable para las buenas prcticas de seguridad y control. COSO, public el sistema de Control Interno, que consista en un informe que establece una definicin de control interno y proporciona un estndar por medio del cual las organizaciones pueden evaluar y mejorar su sistema de control. Su objetivo es: mejorar la calidad de informacin concentrndose en el manejo corporativo, las normas ticas y el control interno y as unificar criterios ante la existencia de una variedad de interpretaciones y conceptos sobre control interno.

Monitoreo

ITCP de Aspectos para la implementacin de una SGSI.

44 Finalmente esta RISK IT que basa su teora en 3 categoras de riesgo: Entrega de riesgo asociado al rendimiento y a la disponibilidad de los servicios de TI Entrega de soluciones y beneficios asociados a la contribucin de TI Beneficios en la realizacin de riesgos asociados a las oportunidades para utilizar tecnologas que mejoren la eficiencia y efectividad de los procesos. Risk IT, proporciona de extremo a extremo una visin global de todos los riesgos relacionados con el uso de las TI y su tratamiento. El entorno de RISK TI, es bien importante por ello se explican las funciones los entes asociados a TI.

Roles / Actividades

Definir alcance de anlisis de riesgo de TI

Estimar el riesgo de TI, sus productos crticos, servicios, procesos y recursos

Identificar las opciones de respuesta al riesgo

Revisin de los resultados del anlisis de riesgo

CEO CRO CIO CFO Enterprise Risk Committee

I R C I C

I R C C I C C C R A/R

Business Management

A/R

Business Procesos Owner

Risk Control Funtions HR Compliance and Audit

METODOLOGA DE ANLISIS DE RIESGOS SGSI.


A continuacin se presentan la metodologa que se utiliza: Riesgo = Valor de activos Impacto de activos y Nivel de aceptacin del Riesgo = Valor de activos Integridad Confidencial, y viabilidad

ITCP de Aspectos para la implementacin de una SGSI.

45

Impacto de Activos = Impacto en los procesos de Negocio y Tolerancia al Riesgo = Probabilidad de Amenaza explotacin de la vulnerabilidad

Medida de clculo de Riesgo: Valor de Activos BIA * Amenaza * Vulnerabilidad = Riesgo Medida. Dnde BIA Valor de activos es una medida de 0 a 5, donde el propietario de los activos es necesario para identificar las consecuencias para los negocios de una violacin del peor caso de la confidencialidad, integridad o disponibilidad. Se visualiza los Riesgos como la prdida de reputacin, el inters de los medios de comunicacin, la sensibilidad de los datos, prdida financiera, etc. La amenaza se basa la evaluacin de la amenaza inicial a una lista de amenazas que se han extrado de la norma ISO / IEC 27001:2005, sus vulnerabilidades asociadas. Escala de 1 a 3 Vulnerabilidad: El control de la corriente y la vulnerabilidad (riesgo de vulnerabilidad se aproveche) situacin dentro de la empresa en relacin con la amenaza identificada se evala. Escala de 1 a 5. Esto proporciona una medida de riesgo 0 a 75 con el fin de tomar decisiones sobre cmo abordar y controla: MUY BAJO 0-14. El bajo nivel de riesgo no justifica los controles adicionales estn poniendo en 0-14 marcha. No hay actividad an ms necesaria. BAJA 15-24 El bajo nivel de riesgo no justifica los controles adicionales estn poniendo en marcha. 15No hay actividad an ms necesaria. MEDIUM 25-45 Gestin aplicarn su criterio en cuanto a si los riesgos son aceptables. Los 25controles se aplicarn, segn proceda. ALTO 46-60 Administracin, seleccionar los controles adecuados. 46 MUY ALTO 61-75 Alto Riesgo - Gestin seleccionar los controles adecuados como una prioridad. 61En la norma ISO 31000, el control se define como una "medida que est modificando riesgo". La norma tambin define que "la organizacin debe asegurarse de que haya rendicin de cuentas, la autoridad y las competencias adecuadas para la gestin de riesgos, incluyendo la implementacin y el mantenimiento del proceso de gestin de riesgos y garantizar la adecuacin, efectividad y eficiencia de todos los controles. " Si una organizacin tiene que implementar de manera eficiente y efectiva lo que la norma define anteriormente para los controles, cuntos controles se pueden gestionar con realismo en la organizacin. La experiencia es que no puede haber muchos miles, por ejemplo, 10.000 ms, ya que una industria se crear dentro de una organizacin, si tiene que asegurar regularmente la adecuacin, eficacia y eficiencia de los 10.000 controles ms. Si una organizacin capta 10.000 ms controles, pero es solamente puede garantizar regularmente la adecuacin, eficacia y eficiencia de un pequeo subconjunto de los controles, entonces hay un punto en la documentacin de todos los controles? Por qu gastar todo el tiempo tratando de definir / documentar cada control, cuando no se puede encontrar en cualquier punto dado cuntos de ellos estn trabajando o no funciona. en el contexto de las grandes organizaciones donde las decisiones importantes se tienen que hacer en trminos de cuntos controles para capturar, evaluar y vigilar la aplicacin efectiva de la norma ISO 31000 estndar . Bastantes de las empresas (hasta 15000 empleados) que tratan de aplicar herramientas de evaluacin de riesgos como parte de su norma ISO 27001 la ejecucin del proyecto. El resultado es que por lo general toma mucho tiempo y dinero con muy poco efecto.
ITCP de Aspectos para la implementacin de una SGSI.

46 En primer lugar, qu es en realidad la evaluacin de riesgos, y cul es su propsito? La evaluacin de riesgos es un proceso en el que una organizacin debe identificar los riesgos de seguridad de la informacin que determinan la probabilidad e impacto. Simplemente hablando, la organizacin debera reconocer a todos los problemas potenciales con su informacin, la probabilidad de que ocurran y qu consecuencias podra ser. El propsito de la evaluacin del riesgo es determinar qu controles son necesarios con el fin de disminuir el riesgo "la seleccin de los controles que se llama el proceso de tratamiento de riesgos y en la ISO 27001 son elegidos en el anexo A, que especifica 133 controles. La evaluacin de riesgos se lleva a cabo mediante la identificacin y evaluacin de los activos, vulnerabilidades y amenazas. Un activo es cualquier cosa que tenga valor para la organizacin "de hardware, software, personas, infraestructuras, datos (en varias formas y medios), proveedores y socios, etc. Una vulnerabilidad es una debilidad en un activo, proceso, control, etc., lo que podra ser explotado por una amenaza, una amenaza es una causa que puede causar dao a un sistema u organizacin. Un ejemplo de la vulnerabilidad es la falta de software anti-virus, una amenaza relacionada es el virus informtico. Sabiendo todo esto, si su empresa que realmente necesita una herramienta sofisticada para realizar la evaluacin de riesgos. Todo lo que necesitas es una hoja de clculo de Excel, buenos catlogos de vulnerabilidades y amenazas, y una buena metodologa de evaluacin de riesgos. La tarea principal es realmente para evaluar la probabilidad y el impacto, y eso no puede ser hecho por cualquier herramienta "es algo que los propietarios de activos, con el conocimiento de sus activos, tienen que pensar. La metodologa no est disponible de forma gratuita, pero se puede usar ISO 27005 estndar (que describe la evaluacin del riesgo y el tratamiento en detalle), o puede utilizar algunos otros sitios web de venta de la metodologa. Todo esto debera tomar mucho menos tiempo y dinero que la compra de una herramienta de evaluacin de riesgos y aprender a usarlo. Una buena metodologa debe contener un mtodo para la identificacin de activos, amenazas y vulnerabilidades, tablas para el marcado de la probabilidad y el impacto, un mtodo para el clculo del riesgo, y definir el nivel de riesgo aceptable. Catlogos debe contener al menos 30 vulnerabilidades y amenazas 30, algunos contienen incluso unos pocos cientos de cada uno, pero eso es probablemente demasiado para una empresa. El proceso no es muy complicado "estos son los pasos bsicos para la evaluacin y tratamiento: Definir y documentar la metodologa (incluyendo los catlogos), la distribuir a todos los propietarios de activos de la organizacin Organizar entrevistas con todos los propietarios de activos durante el cual se deben identificar los activos y las vulnerabilidades y amenazas relacionadas, y en el segundo paso pedirles que evaluar la probabilidad y el impacto si los riesgos particulares debera ocurrir. Consolidar los datos en una sola hoja de clculo, calcular los riesgos e indican que los riesgos no son aceptables para cada riesgo que no es aceptable, seleccione uno o varios controles del Anexo

ITCP de Aspectos para la implementacin de una SGSI.

47 A de la norma ISO 27001 "calcular lo que el nuevo nivel de riesgo sera despus de los controles se llevan a cabo. En conclusin: la evaluacin del riesgo y el tratamiento realmente son la base de la informacin de seguridad / ISO 27001, pero no quiere decir que tengan que ser complicado. Se puede hacer de una manera sencilla, y su sentido comn es lo que realmente cuenta. Lo anteriormente expresado nos ha llevado a proponer lineamientos que consideren los aspectos fundamentales de ISO 27001, ISO 27002, ISO 27005, ISO 20000, COBIT 5.0, COSO, ITIL V3 y BS 25999, entre otros, con el fin de plantear una ruta estratgica que le ofrezca a las organizaciones la capacidad para estar mejor preparada ante un entorno cambiante y de alto riesgo. MEGERIT es una metodologa de evaluacin del riesgo ampliamente aceptada y esta relacionada a la ISO 27005.

PROCESO PARA EVALUACIN DE RIESGOS


Con el riesgo se pueden tener varias alternativas para como son: Evitar, Reducir, Mitigar, Dispersar o Atomizar, Transferir, Asumir o Aceptar. Sea cual sea la decisin que se tome basadas en las posibilidades anteriores es importante realizar una evaluacin que se basa en: Alcance de la reduccin de riesgo (Eficacia) Beneficios u oportunidades creada Factibilidad y Eficiencia (Costo)

ITCP de Aspectos para la implementacin de una SGSI.

48

ITCP de Aspectos para la implementacin de una SGSI.

49

ITCP de Aspectos para la implementacin de una SGSI.

50 Plan de Tratamiento de riesgos es uno de los documentos clave de la norma ISO 27001, sin embargo, muy a menudo se confunde con la documentacin que se produce como resultado de un proceso de tratamiento de riesgos. Esta es la diferencia:

Proceso De Tratamiento Riesgo


El tratamiento del riesgo es un paso en el proceso de gestin de riesgos que sigue a la etapa de evaluacin de riesgos, "en la evaluacin de riesgos de todos deben ser identificados y los riesgos que no son aceptables deben ser seleccionados. La tarea principal en la etapa de tratamiento de riesgo es para seleccionar una o ms opciones para tratar cada riesgo inaceptable, es decir, decidir cmo mitigar todos estos riesgos. Cuatro opciones de tratamiento de riesgo existe (para el proceso completo de gestin de riesgos, la evaluacin de riesgos y tratamiento en "6 pasos bsicos: 1. Aplicar los controles de seguridad del anexo A para disminuir los riesgos "ver este articulo ISO 27001 Anexo A control. 2. Transferir el riesgo a otra parte "por ejemplo, a una compaa de seguros con la compra de una pliza de seguro. 3. Evite el riesgo de detener una actividad que es demasiado arriesgado, o por hacerlo de una manera completamente diferente. 4. Aceptar el riesgo "si, por ejemplo, el costo de mitigar este riesgo sera mayor que el dao mismo. El tratamiento del riesgo se realiza habitualmente en forma de una hoja simple, donde se vinculan las opciones de mitigacin y control de cada riesgo inaceptable, lo que tambin se puede hacer con una herramienta de gestin de riesgos, si dispone de una. De acuerdo con la norma ISO 27001, se deben documentar los resultados de los tratamientos de riesgo en el informe de evaluacin de riesgos, y los resultados son los principales insumos para la redaccin de la Declaracin de aplicabilidad. Esto significa que los resultados del tratamiento de riesgos no estn directamente documentados en el Plan de Tratamiento de Riesgos. Riesgo Plan de Tratamiento As que, dnde est el plan de tratamiento de riesgos en todo este proceso? La respuesta es: slo se puede escribir despus de la Declaracin de aplicabilidad est terminado. Por qu es esto as? Para comenzar a pensar acerca del plan de tratamiento de riesgos, sera ms fcil pensar que es uno de Accin Plan donde tiene que especificar qu controles de seguridad que necesita para implementar, que es responsable de ellos, cules son los plazos y los recursos que (es decir, financieros y humanos) son obligatorios. Pero para escribir un documento, primero debe decidir qu controles deben aplicarse, y esto se hace (de una manera muy sistemtica) a travs de la Declaracin de aplicabilidad. La pregunta es "por qu ISO 27001 requieren los resultados del proceso de tratamiento de riesgos deben documentarse directamente en el Plan de Tratamiento de Riesgos? Por qu este paso intermedio necesario, en forma de Declaracin de aplicabilidad? Mi opinin es que los autores de la norma ISO 27001 quiso animar a las empresas a obtener una imagen completa de la informacin de seguridad "al momento de decidir qu controles son aplicables en la Declaracin de aplicabilidad y cules no, el resultado del tratamiento del riesgo no es slo la entrada A "otros insumos son los requisitos legales, reglamentarios y contractuales, otras necesidades de negocio, etc. En otras palabras, SOA sirve como una especie de lista de control que tiene una visin global de la organizacin, y el Plan de Tratamiento del Riesgo estar completa sin dicha inspeccin.

ITCP de Aspectos para la implementacin de una SGSI.

51 Para concluir el "Plan de Tratamiento del Riesgo es el punto donde la teora se detiene y comienza la verdadera vida de acuerdo a la norma ISO 27001. Evaluacin de riesgos bien hecha y el proceso de tratamiento de riesgos, as como la Declaracin de Aplicabilidad global, producir plan de accin muy til para la implementacin de seguridad de la informacin; omitir alguno de estos pasos y Plan de Tratamiento de riesgos slo va a confundir.

IMPLEMENTACIN DE SGSI POR MEDIO DE O ISM3.


Como hemos visto antes hay una serie de estndares que se pueden utilizar con base para implementar la SGSI, la cuestin es cmo llegar a tener un Modelo de Gestin de la Seguridad Idneo. O ISM3 nos da un marco de referencia y consolida las buenas prcticas de TI de: ITIL COBIT CMMI ISO 27000 Dando como Resultado un Gobierno de TI capaz de administrar y soportar las necesidades del negocio y un esquema capaz de soporta: Disponibilidad de los Servicios de TI. Monitoreo y Control de los Servicios de TI. Sistema de Gestin de la Seguridad de la Informacin que soportara la ISO 27001. (Information Security Management Maturity Model, que se pronuncia ISM), es un estandar de ISECOM para la gestin de la seguridad de la informacin. Est pensado para una mejorar la integracin con otras metodologas y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas para la creacin de sistemas de gestin de la seguridad de la informacin. ISM3 pretende alcanzar un nivel de seguridad definido, tambin conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo la seguridad de la informacin, el garantizar la consecucin de objetivos de negocio. La visin tradicional de que la seguridad de la informacin trata de la prevencin de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organizacin con los objetivos de seguridad (como dar acceso a las bases de datos slo a los usuarios autorizados). Algunas caractersticas significativas de ISM3 son: Mtricas de Seguridad de la Informacin: "Lo que no se puede medir, no se puede gestionar, y lo que no se puede gestionar, no se puede mejorar", ISM3 hace de la seguridad un proceso medible mediante mtricas de gestin de procesos, siendo probablemente el primer estndar que lo hace. Esto permite la mejora continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestin de seguridad de la informacin. Niveles de Madurez: ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organizacin y a los recursos que estn disponibles. Basado en Procesos: ISM3 est basado en procesos, lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO 9001 o que utilizan ITIL como modelo de gestin de TIC. El uso de ISM3 fomenta la colaboracin entre proveedores y usuarios de seguridad de la informacin, dado
ITCP de Aspectos para la implementacin de una SGSI.

52 que la externalizacin de procesos de seguridad se simplifica gracias a mecanismos explcitos, como los ANS y la distribucin de responsabilidades. Adopcin de las Mejores Prcticas: Una implementacin de ISM3 tiene ventajas como las extensas referencias a estndares bien conocidos en cada proceso, as como la distribucin explcita de responsabilidades entre los lderes, gestores y el personal tcnico usando el concepto de gestin Estratgica, Tctica y Operativa. Certificacin: Los sistemas de gestin basados en ISM3 pueden certificarse bajo ISO 9001 o ISO 27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto tambin puede ser atractivo para organizaciones que ya estn certificadas en ISO 9001 y que tienen experiencia e infraestructura para ISO 9001. Accesible: Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Informacin como una inversin y no como una molestia, dado que es mucho ms sencillo medir su rentabilidad y comprender su utilidad.

Ha odo de ITIL, COBIT, COSO, ISO27000, y dems juegos de caracteres? Todos son elementos que encajan en un marco de referencia que se est tratando de implementar para lograr que este gobierno de tecnologa informtica cumpla su propsito. El gobierno de la tecnologa informtica no es ms que una continuacin del gobierno corporativo, pero enfocado en la tecnologa informtica, su desempeo, y el manejo del riesgo que el no tenerla puede ocasionar. Desde mltiples hechos econmicos, en especial casos de defraudacin en informacin financiera y contable de empresas muy grandes, que generaron perdidas enormes en sus accionistas, se ha hecho conciencia que la tecnologa informtica en las empresas no puede seguir siendo una caja negra. El gobierno de tecnologa informtica entonces implica la implementacin de un sistema de administracin en donde todos los "jugadores" de la empresa, incluyendo la Junta Directiva, participan en el proceso de decisin sobre el uso y aplicacin de la tecnologa informtica y comunicaciones (TIC). El simple hecho de cuestionarse la administracin de las TIC, pareciera acusar que hasta entonces no se tiene una administracin apropiada. Sin embargo es imperante hacer claridad que la administracin de las TIC en su aspecto tcnico y de aplicacin es apropiada, y lo que falta es la responsabilidad de la alta gerencia sobre los resultados de la aplicacin de estas tecnologas. Ya los gerentes no pueden decir que los procesos informticos transcurren a sus espaldas, sino que deben ser parte de ellos. Los marcos de referencia para la administracin de las TIC han existido siempre, sin embargo la ausencia de ellos en la prctica en las empresas ahora tienen mayores repercusiones en cuanto al nivel de riesgo que se maneja al no tener disponibilidad de las mismas, o mediante una generacin de informacin no confiable. A partir de legislacin en Estados Unidos gestada principalmente por hechos fraudulentos en la informacin financiera de las empresas, se han generado una serie de lineamientos y directrices sobre las cuales se han construido algunos modelos de mejores prcticas en la administracin de la informacin. COBIT, (Control Objectives for information and related technology, o los Objetivos de Control para la Informtica y sus tecnologas relacionadas) es un conjunto de buenas prcticas o un marco de referencia
ITCP de Aspectos para la implementacin de una SGSI.

53 creado por el Information Systems audit. And Control Association (ISACA) y el ITGovernance Institute (ITGI) en 1992, que entrega una serie de medidas, indicadores, procesos y mejores prcticas comnmente aceptadas, que le permiten a los administradores, auditores y usuarios de TI, maximizar el beneficio derivado del uso de las TIC y el desarrollo apropiado del gobierno de TIC. Posteriormente han anunciado ValIT para Obtener valor de las TIC, y RiskIT para evaluar y mitigar riesgo. Este marco de referencia define claramente siete caractersticas que deben estar presentes en el manejo de la informacin: 1. 2. 3. 4. 5. 6. 7. Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Adhesin a la norma (Compliance) Confiabilidad

Y genera el ciclo de calidad (planear, hacer, verificar, y actuar) sobre los recursos de tecnologa incluyendo las aplicaciones, la informacin, la infraestructura y las personas. Se ha dividido en seis grandes grupos los procesos a generar dentro del rea de tecnologa informtica, encima de las operaciones mismas, para ser controladas por este ciclo de calidad. Y es ah donde empieza a jugar la "sopa de letras" de los diferentes estndares propuestos para administrar cada uno de ellos. Administracin del servicio: ITIL, Information Technology Library Infrastructure Desarrollo de Software/Aplicaciones: CMMI, Capability Maturity Model for Integration Administracin de Proyectos: PMBOK (Libro de conocimiento de administracin de proyectos) Seguridad TI: ISO 27000 (Antes ISO 17799/ BS 7799) Planeacin de Tecnologa: AS8015 aporta algunos elementos Sistema de Calidad: ISO 9000 / Six Sigma Se ve claramente un conjunto de caracteres y estndares, y la pregunta de fondo es y qu se debe hacer con todo esto? Consideramos que estos marcos de referencia en su mayora, como CobiT e ITIL son maduros y tienen un ciclo de mejora continua, lo que ms cuesta es lograr la curva de aprendizaje de la organizacin, debido que deben abandonar las costumbres por las buenas prcticas, lo que en la mayora de casos implica resistencia al cambio por temor y porque las cosas bien hechas no son fciles.

ITCP de Aspectos para la implementacin de una SGSI.