SGSI

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI
Sistema de Gestin de la Seguridad de la Informacin El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el concepto central sobre el que se construye ISO 27001. La gestin de la seguridad de la informacin debe realizarse mediante un proceso sistemtico, documentado y conocido por toda la organizacin. Este proceso es el que constituye un SGSI, que podra considerarse, por analoga con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la informacin. Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propsito de un sistema de gestin de la seguridad de la informacin es, por tanto, garantizar que los riesgos de la seguridad de la informacin sean conocidos, asumidos, gestionados y minimizados por la organizacin de una forma documentada, sistemtica, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologas. Qu es un SGSI? SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la Seguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls, siglas de Information Security Management System. En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imgenes, oral, impresa en papel, almacenada electrnicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organizacin o de fuentes externas) o de la fecha de elaboracin.
EDSEL ENRIQUE URUEA LEN
La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de su confidencialidad, integridad y disponibilidad, as como de los sistemas implicados en su tratamiento, dentro de una organizacin. As pues, estos tres trminos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la informacin: Confidencialidad: la informacin no se pone a disposicin ni se revela a individuos, entidades o procesos no autorizados. Integridad: mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Disponibilidad: acceso y utilizacin de la informacin y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Para garantizar que la seguridad de la informacin es gestionada correctamente, se debe hacer uso de un proceso sistemtico, documentado y conocido por toda la organizacin, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI. Para qu sirve un SGSI? La informacin, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organizacin. La confidencialidad, integridad y disponibilidad de informacin sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organizacin y asegurar beneficios econmicos. Las organizaciones y sus sistemas de informacin estn expuestos a un nmero cada vez ms elevado de amenazas que, aprovechando cualquiera de
las vulnerabilidades existentes, pueden someter a activos crticos de informacin a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informticos, el hacking o los ataques de denegacin de servicio son algunos ejemplos comunes y conocidos, pero tambin se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organizacin o aquellos provocados accidentalmente por catstrofes naturales y fallos tcnicos. El cumplimiento de la legalidad, la adaptacin dinmica y puntual a las condiciones variables del entorno, la proteccin adecuada de los objetivos de negocio para asegurar el mximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestin de las organizaciones.
El nivel de seguridad alcanzado por medios tcnicos es limitado e insuficiente por s mismo. En la gestin efectiva de la seguridad debe tomar parte activa toda la organizacin, con la gerencia al frente, tomando en consideracin tambin a clientes y proveedores de bienes y servicios. El modelo de gestin de la seguridad debe contemplar unos procedimientos adecuados y la planificacin e implantacin de controles de seguridad basados en una evaluacin de riesgos y en una medicin de la eficacia de los mismos. El Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a establecer estas polticas y procedimientos en relacin a los objetivos de negocio de la organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir. Con un SGSI, la organizacin conoce los riesgos a los que est sometida su informacin y los asume, minimiza, transfiere o controla mediante una sistemtica definida, documentada y conocida por todos, que se revisa y mejora constantemente.
Qu incluye un SGSI? En el mbito de la gestin de la calidad segn ISO 9001, siempre se ha mostrado grficamente la documentacin del sistema como una pirmide de cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestin de la Seguridad de la Informacin basado en ISO 27001 de la siguiente forma:
Documentos de Nivel 1 Manual de seguridad: por analoga con el manual de calidad, aunque el trmino se usa tambin en otros mbitos. Sera el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, polticas y directrices principales, etc., del SGSI. Documentos de Nivel 2 Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificacin, operacin y control de los procesos de seguridad de la informacin. Documentos de Nivel 3 Instrucciones, checklists y formularios: documentos que describen cmo se realizan las tareas y las actividades especficas relacionadas con la seguridad de la informacin. Documentos de Nivel 4 Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; estn asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos.
De manera especfica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio): Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI, incluyendo una identificacin clara de las dependencias, relaciones y lmites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el mbito de influencia del SGSI considere un subconjunto de la organizacin como delegaciones, divisiones, reas, procesos, sistemas o tareas concretas). Poltica y objetivos de seguridad: documento de contenido genrico que establece el compromiso de la direccin y el enfoque de la organizacin en la gestin de la seguridad de la informacin. Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI. Enfoque de evaluacin de riesgos: descripcin de la metodologa a emplear (cmo se realizar la evaluacin de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relacin a los activos de informacin contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptacin de riesgo y fijacin de niveles de riesgo aceptables . Informe de evaluacin de riesgos: estudio resultante de aplicar la metodologa de evaluacin anteriormente mencionada a los activos de informacin de la organizacin. Plan de tratamiento de riesgos: documento que identifica las acciones de la direccin, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la informacin, en funcin de las conclusiones obtenidas de la evaluacin de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc. Procedimientos documentados: todos los necesarios para asegurar la planificacin, operacin y control de los procesos de seguridad de la informacin, as como para la medida de la eficacia de los controles implantados. Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. Declaracin de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos, justificando inclusiones y exclusiones. Control de la documentacin Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento que defina las acciones de gestin necesarias para:
Aprobar documentos apropiados antes de su emisin. Revisar y actualizar documentos cuando sea necesario y renovar su validez. Garantizar que los cambios y el estado actual de revisin de los documentos estn identificados. Garantizar que las versiones relevantes de documentos vigentes estn disponibles en los lugares de empleo. Garantizar que los documentos se mantienen legibles y fcilmente identificables. Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los procedimientos aplicables segn su clasificacin. Garantizar que los documentos procedentes del exterior estn identificados. Garantizar que la distribucin de documentos est controlada. Prevenir la utilizacin de documentos obsoletos. Aplicar la identificacin apropiada a documentos que son retenidos con algn propsito. Cmo se implementa un SGSI? Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestin de la calidad.
Plan (planificar): establecer el SGSI. Do (hacer): implementar y utilizar el SGSI.

Check (verificar): monitorizar y revisar el SGSI. Act (actuar): mantener y mejorar el SGSI. Plan: Establecer el SGSI Definir el alcance del SGSI en trminos del negocio, la organizacin, su localizacin, activos y tecnologas, incluyendo detalles y justificacin de cualquier exclusin. Definir una poltica de seguridad que: Incluya el marco general y los objetivos de seguridad de la informacin de la organizacin; Considere requerimientos legales o contractuales relativos a la seguridad de la informacin; Est alineada con el contexto estratgico de gestin de riesgos de la organizacin en el que se establecer y mantendr el SGSI; Establezca los criterios con los que se va a evaluar el riesgo; Est aprobada por la direccin. Definir una metodologa de evaluacin del riesgo apropiada para el SGSI y los requerimientos del negocio, adems de establecer los criterios de aceptacin del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodologa es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologas estandarizadas para la evaluacin de riesgos, aunque es perfectamente aceptable definir una propia). Identificar los riesgos: Identificar los activos que estn dentro del alcance del SGSI y a sus responsables directos, denominados propietarios; Identificar las amenazas en relacin a los activos; Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas; Identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos. Analizar y evaluar los riesgos: Evaluar el impacto en el negocio de un fallo de seguridad que suponga la prdida de confidencialidad, integridad o disponibilidad de un activo de informacin;
Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relacin a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estn implementados; Estimar los niveles de riesgo; Determinar, segn los criterios de aceptacin de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado. Identificar y evaluar las distintas opciones de tratamiento de los riesgos para: Aplicar controles adecuados; Aceptar el riesgo, siempre y cuando se siga cumpliendo con las polticas y criterios establecidos para la aceptacin de los riesgos; Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan; Transferir el riesgo a terceros, p. ej., compaas aseguradoras o proveedores de outsourcing.
Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluacin del riesgo. Aprobar por parte de la direccin tanto los riesgos residuales como la implantacin y uso del SGSI. Definir una declaracin de aplicabilidad que incluya: Los objetivos de control y controles seleccionados y los motivos para su eleccin;
Los objetivos de control y controles que actualmente ya estn implantados; Los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusin; este es un mecanismo que permite, adems, detectar posibles omisiones involuntarias. En relacin a los controles de seguridad, el estndar ISO 27002 (antigua ISO 17799) proporciona una completa gua de implantacin que contiene 133 controles, segn 39 objetivos de control agrupados en 11 dominios. Esta norma es referenciada en ISO 27001, en su segunda clusula, en trminos de documento indispensable para la aplicacin de este documento y deja abierta la posibilidad de incluir controles adicionales en el caso de que la gua no contemplase todas las necesidades particulares. Do: Implementar y utilizar el SGSI Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin. Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignacin de recursos, responsabilidades y prioridades. Implementar los controles anteriormente seleccionados que lleven a los objetivos de control. Definir un sistema de mtricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles. Procurar programas de formacin y concienciacin en relacin a la seguridad de la informacin a todo el personal. Gestionar las operaciones del SGSI. Gestionar los recursos necesarios asignados mantenimiento de la seguridad de la informacin. al SGSI para el
Implantar procedimientos y controles que permitan una rpida deteccin y respuesta a los incidentes de seguridad.
Check: Monitorizar y revisar el SGSI La organizacin deber: Ejecutar procedimientos de monitorizacin y revisin para: Detectar a tiempo los errores en los resultados generados por el procesamiento de la informacin;
Identificar brechas e incidentes de seguridad; Ayudar a la direccin a determinar si las actividades desarrolladas por las personas y dispositivos tecnolgicos para garantizar la seguridad de la informacin se desarrollan en relacin a lo previsto; Detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores; Determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas. Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la poltica y objetivos del SGSI, los resultados de auditoras de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas. Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad. Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organizacin, la tecnologa, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior requerimientos legales, obligaciones contractuales, etc.-. Realizar peridicamente auditoras internas del SGSI en intervalos planificados. Revisar el SGSI por parte de la direccin peridicamente para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes. Actualizar los planes de seguridad en funcin de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorizacin y revisin. Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.
Act: Mantener y mejorar el SGSI La organizacin deber regularmente: Implantar en el SGSI las mejoras identificadas. Realizar las acciones preventivas y correctivas adecuadas en relacin a la clasula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones. Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder.
Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Tngase en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber actividades de implantacin que ya se lleven a cabo cuando otras de planificacin an no han finalizado; o que se monitoricen controles que an no estn implantados en su totalidad. Qu tareas tiene la Gerencia en un SGSI? Uno de los componentes primordiales en la implantacin exitosa de un Sistema de Gestin de Seguridad de la Informacin es la implicacin de la direccin. No se trata de una expresin retrica, sino que debe asumirse desde un principio que un SGSI afecta fundamentalmente a la gestin del negocio y requiere, por tanto, de decisiones y acciones que slo puede tomar la gerencia de la organizacin. No se debe caer en el error de considerar un SGSI una mera cuestin tcnica o tecnolgica relegada a niveles inferiores del organigrama; se estn gestionando riesgos e impactos de negocio que son responsabilidad y decisin de la direccin. El trmino Direccin debe contemplarse siempre desde el punto de vista del alcance del SGSI. Es decir, se refiere al nivel ms alto de gerencia de la parte de la organizacin afectada por el SGSI (recurdese que el alcance no tiene por qu ser toda la organizacin). Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la direccin se detallan en los siguientes puntos: Compromiso de la direccin La direccin de la organizacin debe comprometerse con el establecimiento, implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del SGSI. Para ello, debe tomar las siguientes iniciativas: Establecer una poltica de seguridad de la informacin. Asegurarse de que se establecen objetivos y planes del SGSI. Establecer roles y responsabilidades de seguridad de la informacin. Comunicar a la organizacin tanto la importancia de lograr los objetivos de seguridad de la informacin y de cumplir con la poltica de seguridad, como sus responsabilidades legales y la necesidad de mejora continua. Asignar suficientes recursos al SGSI en todas sus fases. Decidir los criterios de aceptacin de riesgos y sus correspondientes niveles.
Asegurar que se realizan auditoras internas. Realizar revisiones del SGSI, como se detalla ms adelante.
Asignacin de recursos Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, es imprescindible la asignacin de recursos. Es responsabilidad de la direccin garantizar que se asignan los suficientes para: Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI. Garantizar que los procedimientos de seguridad de la informacin apoyan los requerimientos de negocio. Identificar y tratar todos los requerimientos legales y normativos, as como las obligaciones contractuales de seguridad. Aplicar correctamente todos los controles implementados, manteniendo de esa forma la seguridad adecuada. Realizar revisiones cuando sea necesario y actuar adecuadamente segn los resultados de las mismas. Mejorar la eficacia del SGSI donde sea necesario.
Formacin y concienciacin La formacin y la concienciacin en seguridad de la informacin son elementos bsicos para el xito de un SGSI. Por ello, la direccin debe asegurar que todo el personal de la organizacin al que se le asignen responsabilidades definidas en el SGSI est suficientemente capacitado. Se deber: Determinar las competencias necesarias para el personal que realiza tareas en aplicacin del SGSI. Satisfacer dichas necesidades por medio de formacin o de otras acciones como, p. ej., contratacin de personal ya formado. Evaluar la eficacia de las acciones realizadas. Mantener registros de estudios, formacin, habilidades, experiencia y cualificacin.
Adems, la direccin debe asegurar que todo el personal relevante est concienciado de la importancia de sus actividades de seguridad de la informacin y de cmo contribuye a la consecucin de los objetivos del SGSI. Revisin del SGSI
A la direccin de la organizacin se le asigna tambin la tarea de, al menos una vez al ao, revisar el SGSI, para asegurar que contine siendo adecuado y eficaz. Para ello, debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que se pueden enumerar: Resultados de auditoras y revisiones del SGSI. Observaciones de todas las partes interesadas. Tcnicas, productos o procedimientos que pudieran ser tiles para mejorar el rendimiento y eficacia del SGSI. Informacin sobre el estado de acciones preventivas y correctivas. Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos anteriores. Resultados de las mediciones de eficacia. Estado de las acciones iniciadas a raz de revisiones anteriores de la direccin. Cualquier cambio que pueda afectar al SGSI. Recomendaciones de mejora.
Basndose en todas estas informaciones, la direccin debe revisar el SGSI y tomar decisiones y acciones relativas a: Mejora de la eficacia del SGSI. Actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos. Modificacin de los procedimientos y controles que afecten a la seguridad de la informacin, en respuesta a cambios internos o externos en los requisitos de negocio, requerimientos de seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios de aceptacin de riesgos. Necesidades de recursos. Mejora de la forma de medir la efectividad de los controles.
Se integra un SGSI con otros sistemas de gestin? Un SGSI es, en primera instancia, un sistema de gestin, es decir, una herramienta de la que dispone la gerencia para dirigir y controlar un determinado mbito, en este caso, la seguridad de la informacin. La gestin de las actividades de las organizaciones se realiza, cada vez con ms frecuencia, segn sistemas de gestin basados en estndares
internacionales: se gestiona la calidad segn ISO 9001, el impacto medioambiental segn ISO 14001 o la prevencin de riesgos laborales segn OHSAS 18001. Ahora, se aade ISO 27001 como estndar de gestin de seguridad de la informacin. Las empresas tienen la posibilidad de implantar un nmero variable de estos sistemas de gestin para mejorar la organizacin y beneficios sin imponer una carga a la organizacin. El objetivo ltimo debera ser llegar a un nico sistema de gestin que contemple todos los aspectos necesarios para la organizacin, basndose en el ciclo PDCA de mejora continua comn a todos estos estndares. Las facilidades para la integracin de las normas ISO son evidentes mediante la consulta de sus anexos. ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre esta norma y la ISO 9001 e ISO 14001. Ah se observa la alta correlacin existente y se puede intuir la posibilidad de integrar el sistema de gestin de seguridad de la informacin en los sistemas de gestin existentes ya en la organizacin. Algunos puntos que suponen una novedad en ISO 27001 frente a otros estndares son la evaluacin de riesgos y el establecimiento de una declaracin de aplicabilidad (SOA), aunque ya se plantea incorporar stos al resto de normas en un futuro. En las secciones de Faqs y de Artculos del documento, podr encontrar ms informaciones acerca de la integracin del SGSI con otros sistemas de gestin. ISO 27000 La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organizacin. Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la organizacin. ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea. En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin (SGSI) basado en ISO 27001.
Origen Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards Institution, la organizacin britnica equivalente a AENOR en Espaa) es responsable de la publicacin de importantes normas como: 1979 1992 1996 Publicacin BS 5750 - ahora ISO 9001 Publicacin BS 7750 - ahora ISO 14001 Publicacin BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la seguridad de su informacin. La primera parte de la norma (BS 7799-1) es una gua de buenas prcticas, para la que no se establece un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la informacin (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000. En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin. En 2005, con ms de 1700 empresas certificadas en BS7799-2, este esquema se public por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO17799. Esta ltima norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao de publicacin formal de la revisin.
En Marzo de 2006, posteriormente a la publicacin de la ISO27001:2005, BSI public la BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin.
En la seccin de Artculos y Podcasts encontrar un archivo grfico y sonoro con la historia de ISO 27001 e ISO 17799. La serie 27000 A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044. ISO 27000: En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008. Contendr trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin. Esta norma est previsto que sea gratuita, a diferencia de las dems de la serie, que tendrn un coste.
ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habindose establecido unas condiciones de transicin para aquellas empresas certificadas en esta ltima. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeracin de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia , Venezuela y Argentina. El original en ingls y la traduccin al francs pueden adquirirse en ISO.org. ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En Espaa, an no est traducida (previsiblemente, a lo largo de 2008). Desde 2006, s est traducida en Colombia (como ISO 17799) y, desde 2007, en Per (como ISO 17799; descarga gratuita). El original en ingls y su traduccin al francs pueden adquirirse en ISO.org.
ISO 27003: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2009. Consistir en una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de
documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. ISO 27004: En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008. Especificar las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas mtricas se usan fundamentalmente para la medicin de los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA.
ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. El conocimiento de los conceptos, modelos, procesos y trminos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intencin de gestionar los riesgos que puedan comprometer la organizacin de la seguridad de la informacin. Su publicacin revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000. En Espaa, esta norma an no est traducida. El original en ingls puede adquirirse en ISO.org. ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s misma. En Espaa, esta norma an no est traducida. El original en ingls puede adquirirse en ISO.org. ISO 27007: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2010. Consistir en una gua de auditora de un SGSI. ISO 27011: En fase de desarrollo; su fecha prevista de publicacin es Enero de 2008. Consistir en una gua de gestin de seguridad de la informacin especfica para telecomunicaciones, elaborada conjuntamente con la ITU (Unin Internacional de Telecomunicaciones). ISO 27031: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2010. Consistir en una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones. ISO 27032: En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009. Consistir en una gua relativa a la ciberseguridad.
ISO 27033: En fase de desarrollo; su fecha prevista de publicacin es entre 2010 y 2011. Es una norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e implementacin de seguridad en redes. Provendr de la revisin, ampliacin y renumeracin de ISO 18028. ISO 27034: En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009. Consistir en una gua de seguridad en aplicaciones.
ISO 27799: Publicada el 12 de Junio de 2008. Es un estndar de gestin de seguridad de la informacin en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretacin y aplicacin en la salud informtica de la norma ISO / IEC 27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prcticas para la gestin de la salud y la seguridad de la informacin por organizaciones sanitarias y otros custodios de la informacin sanitaria en base a garantizar un mnimo nivel necesario de seguridad apropiado para la organizacin y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de informacin personal de salud. ISO 27799:2008 se aplica a la informacin en salud en todos sus aspectos y en cualquiera de sus formas, toma la informacin (palabras y nmeros, grabaciones sonoras, dibujos, vdeos y imgenes mdicas), sea cual fuere el medio utilizado para almacenar (de impresin o de escritura en papel o electrnicos de almacenamiento ) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informticas o por correo), ya que la informacin siempre debe estar adecuadamente protegida. El original en ingls o francs puede adquirirse en ISO.org.
Contenido En esta seccin se hace un breve resumen del contenido de las normas ISO 27001, ISO 27002, ISO 27006 e ISO 27799. Si desea acceder a las normas completas, debe saber que stas no son de libre difusin sino que han de ser adquiridas. Para los originales en ingls, puede hacerlo online en la tienda virtual de la propia organizacin: http://www.iso.org/iso/en/prods-services/ISOstore/store.html Las normas en espaol pueden adquirirse en Espaa en AENOR (vea en la seccin Serie 27000 cules estn ya traducidas): http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp
Las entidades de normalizacin responsables de la publicacin y venta de normas en cada pas hispanoamericano (es decir, las homlogas del AENOR espaol) las puede encontrar listadas en nuestra seccin de Enlaces, bajo Acreditacin y Normalizacin. ISO 27001:2005 Introduccin: generalidades e introduccin al mtodo PDCA. Objeto y campo de aplicacin: se especifica el objetivo, la aplicacin y el tratamiento de exclusiones. Normas para consulta: otras normas que sirven de referencia. Trminos y definiciones: breve descripcin de los trminos ms usados en la norma. Sistema de gestin de la seguridad de la informacin: cmo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentacin y control de la misma.
Responsabilidad de la direccin: en cuanto a compromiso con el SGSI, gestin y provisin de recursos y concienciacin, formacin y capacitacin del personal. Auditoras internas del SGSI: cmo realizar las auditoras internas de control y cumplimiento.
Revisin del SGSI por la direccin: cmo gestionar el proceso peridico de revisin del SGSI por parte de la direccin. Mejora del SGSI: mejora continua, acciones correctivas y acciones preventivas. Objetivos de control y controles: anexo normativo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 27002:2005. Relacin con los Principios de la OCDE: anexo informativo con la correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE.
Correspondencia con otras normas: anexo informativo con una tabla de correspondencia de clusulas con ISO 9001 e ISO 14001. Bibliografa: normas y publicaciones de referencia. ISO 27002:2005 (anterior ISO 17799:2005) Introduccin: conceptos generales de seguridad de la informacin y SGSI. Campo de aplicacin: se especifica el objetivo de la norma.
Trminos y definiciones: breve descripcin de los trminos ms usados en la norma. Estructura del estndar: descripcin de la estructura de la norma. Evaluacin y tratamiento del riesgo: indicaciones sobre cmo evaluar y tratar los riesgos de seguridad de la informacin. Poltica de seguridad: documento de poltica de seguridad y su gestin. Aspectos organizativos de la seguridad de la informacin: organizacin interna; terceros. Gestin de activos: responsabilidad sobre los activos; clasificacin de la informacin.
Seguridad ligada a los recursos humanos: antes del empleo; durante el empleo; cese del empleo o cambio de puesto de trabajo. Seguridad fsica y ambiental: reas seguras; seguridad de los equipos. Gestin de comunicaciones y operaciones: responsabilidades y procedimientos de operacin; gestin de la provisin de servicios por terceros; planificacin y aceptacin del sistema; proteccin contra cdigo malicioso y descargable; copias de seguridad; gestin de la seguridad de las redes; manipulacin de los soportes; intercambio de informacin; servicios de comercio electrnico; supervisin.
Control de acceso: requisitos de negocio para el control de acceso; gestin de acceso de usuario; responsabilidades de usuario; control de acceso a la red; control de acceso al sistema operativo; control de acceso a las aplicaciones y a la informacin; ordenadores porttiles y teletrabajo. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: requisitos de seguridad de los sistemas de informacin; tratamiento correcto de las aplicaciones; controles criptogrficos; seguridad de los archivos de sistema; seguridad en los procesos de desarrollo y soporte; gestin de la vulnerabilidad tcnica. Gestin de incidentes de seguridad de la informacin: notificacin de eventos y puntos dbiles de la seguridad de la informacin; gestin de incidentes de seguridad de la informacin y mejoras. Gestin de la continuidad del negocio: aspectos de la seguridad de la informacin en la gestin de la continuidad del negocio.
Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las polticas y normas de seguridad y cumplimiento tcnico; consideraciones sobre las auditoras de los sistemas de informacin. Bibliografa: normas y publicaciones de referencia.
Puede descargarse una lista de todos los controles que contiene esta norma aqu: http://www.iso27000.es/download/ControlesISO27002-2005.pdf ISO 27006:2007 (Esta norma referencia directamente a muchas clusulas de ISO 17021 requisitos de entidades de auditora y certificacin de sistemas de gestin-, por lo que es recomendable disponer tambin de dicha norma, que puede adquirirse en espaol en AENOR). Prembulo: presentacin de las organizaciones ISO e IEC y sus actividades.
Introduccin: antecedentes de ISO 27006 y gua de uso para la norma. Campo de aplicacin: a quin aplica este estndar. Referencias normativas: otras normas que sirven de referencia. Trminos y definiciones: breve descripcin de los trminos ms usados en la norma. Principios: principios que rigen esta norma. Requisitos generales: aspectos generales que deben cumplir las entidades de certificacin de SGSIs. Requisitos estructurales: estructura organizativa que deben tener las entidades de certificacin de SGSIs. Requisitos en cuanto a recursos: competencias requeridas para el personal de direccin, administracin y auditora de la entidad de certificacin, as como para auditores externos, expertos tcnicos externos y subcontratas. Requisitos de informacin: informacin pblica, documentos de certificacin, relacin de clientes certificados, referencias a la certificacin y marcas, confidencialidad e intercambio de informacin entre la entidad de certificacin y sus clientes.
Requisitos del proceso: requisitos generales del proceso de certificacin, auditora inicial y certificacin, auditoras de seguimiento, recertificacin, auditoras especiales, suspensin, retirada o modificacin de alcance de la certificacin, apelaciones, reclamaciones y registros de solicitantes y clientes. Requisitos del sistema de gestin de entidades de certificacin: opciones, opcin 1 (requisitos del sistema de gestin de acuerdo con ISO 9001) y opcin 2 (requisitos del sistema de gestin general).
Anexo A - Anlisis de la complejidad de la organizacin de un cliente y aspectos especficos del sector: potencial de riesgo de la organizacin
(tabla orientativa) y categoras de riesgo de la seguridad de la informacin especficas del sector de actividad. Anexo B - reas de ejemplo de competencia del auditor: consideraciones de competencia general y consideraciones de competencia especfica (conocimiento de los controles del Anexo A de ISO 27001:2005 y conocimientos sobre SGSIs). Anexo C - Tiempos de auditora: introduccin, procedimiento para determinar la duracin de la auditora y tabla de tiempos de auditora (incluyendo comparativa con tiempos de auditora de sistemas de calidad ISO 9001- y medioambientales -ISO 14001-).
Anexo D - Gua para la revisin de controles implantados del Anexo A de ISO 27001:2005: tabla de apoyo para el auditor sobre cmo auditar los controles, sean organizativos o tcnicos. ISO 27799:2008 Publicada el 12 de Junio de 2008. Es un estndar de gestin de seguridad de la informacin en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretacin y aplicacin en la salud informtica de la norma ISO / IEC 27002 y es un complemento de esa norma. Alcance Referencias (Normativas) Terminologa Simbologa Seguridad de la informacin sanitaria (Objetivos; Seguridad en el gobierno de la informacin; Infomacin sanitara a proteger; Amenazas y vulnerabilidades) Plan de accin prctico para implantar ISO 17799/27002 (Taxonoma; Acuerdo de la direccin; establecimiento, operacin, mantenimiento y mejora de un SGSI; Planning; Doing; Checking, Auditing) Implicaciones sanitarias de ISO 17799/27002 (Poltica de seguridad de la informacin; Organizacin; gestin de activos; RRHH; Fsicos; Comunicaciones; Accesos; Adquisicin; Gestin de Incidentes; Continuidad de negocio; Cumplimiento legal) Anexo A: Amenazas Anexo B: Tareas y documentacin de un SGSI
Anexo C: Beneficios potenciales y atributos de herramientas Anexo D: Estndares relacionados Beneficios Establecimiento de una metodologa de gestin de la seguridad clara y estructurada.
Reduccin del riesgo de prdida, robo o corrupcin de informacin. Los clientes tienen acceso a la informacin a travs medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial.
Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar. Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001, OHSAS 18001). Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
Confianza y reglas claras para las personas de la organizacin. Reduccin de costes y mejora de los procesos y servicio. Aumento de la motivacin y satisfaccin del personal. Aumento de la seguridad en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas. Cmo adaptarse?
Arranque del proyecto
Compromiso de la Direccin: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Direccin de la organizacin. No slo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciacin que lleva consigo el proceso hacen necesario el impulso constante de la Direccin. Planificacin, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases. Planificacin
Definir alcance del SGSI: en funcin de caractersticas del negocio, organizacin, localizacin, activos y tecnologa, definir el alcance y los lmites del SGSI (el SGSI no tiene por qu abarcar toda la organizacin; de hecho, es recomendable empezar por un alcance limitado.
Definir poltica de seguridad: que incluya el marco general y los objetivos de seguridad de la informacin de la organizacin, tenga en cuenta los requisitos de negocio, legales y contractuales en cuanto a seguridad, est alineada con la gestin de riesgo general, establezca criterios de evaluacin de riesgo y sea aprobada por la Direccin. La poltica de seguridad es un documento muy general, una especie de "declaracin de intenciones" de la Direccin, por lo que no pasar de dos o tres pginas. Definir el enfoque de evaluacin de riesgos: definir una metodologa de evaluacin de riesgos apropiada para el SGSI y las necesidades de la organizacin, desarrollar criterios de aceptacin de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologas de evaluacin de riesgos aceptadas internacionalmente (ver seccin de Herramientas); la organizacin puede optar por una de ellas, hacer una combinacin de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones adicionales sobre cmo definirla (en el futuro, ISO 27005 proporcionar ayuda en este sentido). El riesgo nunca es totalmente eliminable -ni sera rentable hacerlo-, por lo que es necesario definir una estrategia de aceptacin de riesgo.
Inventario de activos: todos aquellos activos de informacin que tienen algn valor para la organizacin y que quedan dentro del alcance del SGSI. Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.
Identificar los impactos: los que podra suponer una prdida de la confidencialidad, la integridad o la disponibilidad de cada uno de los activos.
Anlisis y evaluacin de los riesgos: evaluar el dao resultante de un fallo de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en funcin de los niveles definidos previamente) o requiere tratamiento. Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido (mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma consciente) o transferido (p. ej., con un seguro o un contrato de outsourcing). Seleccin de controles: seleccionar controles para el tratamiento el riesgo en funcin de la evaluacin anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en cuenta que las exclusiones habrn de ser justificadas) y otros controles adicionales si se consideran necesarios. Aprobacin por parte de la Direccin del riesgo residual y autorizacin de implantar el SGSI: hay que recordar que los riesgos de seguridad de la informacin son riesgos de negocio y slo la Direccin puede tomar decisiones sobre su aceptacin o tratamiento. El riesgo residual es el que queda, an despus de haber aplicado controles (el "riesgo cero" no existe prcticamente en ningn caso). Confeccionar una Declaracin de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razn de su seleccin, los controles actualmente implementados y la justificacin de cualquier control del Anexo A excluido. Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo. Implementacin
Definir plan de tratamiento de riesgos: que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin.
Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control identificados. Implementar los controles: todos los que se seleccionaron en la fase anterior.
Formacin y concienciacin: de todo el personal en lo relativo a la seguridad de la informacin. Desarrollo del marco normativo procedimientos e instrucciones. necesario: normas, manuales,
Gestionar las operaciones del SGSI y todos los recursos que se le asignen. Implantar procedimientos y controles de deteccin y respuesta a incidentes de seguridad. Seguimiento
Ejecutar procedimientos y controles de monitorizacin y revisin: para detectar errores en resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si las actividades de seguridad de la informacin estn desarrollndose como estaba planificado, detectar y prevenir incidentes de seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para resolver incidentes de seguridad han sido eficaces.
Revisar regularmente la eficacia del SGSI: en funcin de los resultados de auditoras de seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los interesados. Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad. Revisar regularmente la evaluacin de riesgos: los cambios en la organizacin, tecnologa, procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado.
Realizar regularmente auditoras internas: para determinar si los controles, procesos y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de seguridad de la organizacin, estn implementados y mantenidos con eficacia y tienen el rendimiento esperado. Revisar regularmente el SGSI por parte de la Direccin: para determinar si el alcance definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la poltica de seguridad o a los objetivos de seguridad de la informacin. Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorizacin y las revisiones.
Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI. Mejora continua
Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase anterior.
Acciones correctivas: para solucionar no conformidades detectadas. Acciones preventivas: para prevenir potenciales no conformidades. Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle. Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier accin, medida o cambio debe comprobarse siempre.
Aspectos Clave Fundamentales
Compromiso y apoyo de la Direccin de la organizacin. Definicin clara de un alcance apropiado. Concienciacin y formacin del personal. Evaluacin de riesgos exhaustiva y adecuada a la organizacin. Compromiso de mejora continua. Establecimiento de polticas y normas. Organizacin y comunicacin. Integracin del SGSI en la organizacin. Factores de xito La concienciacin del empleado por la seguridad. Principal objetivo a conseguir. Realizacin de comits de direccin con descubrimiento continuo de no conformidades o acciones de mejora.
Creacin de un sistema de gestin de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados). La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
La seguridad no es un producto, es un proceso. La seguridad no es un proyecto, es una actividad continua y el programa de proteccin requiere el soporte de la organizacin para tener xito. La seguridad debe ser inherente a los procesos de informacin y del negocio.
Riesgos Exceso de tiempos de implantacin: con los consecuentes costes descontrolados, desmotivacin, alejamiento de los objetivos iniciales, etc.
Temor ante el cambio: resistencia de las personas. Discrepancias en los comits de direccin. Delegacin de todas las responsabilidades en departamentos tcnicos. No asumir que la seguridad de la informacin es inherente a los procesos de negocio.
Planes de formacin y concienciacin inadecuados. Calendario de revisiones que no se puedan cumplir. Definicin poco clara del alcance. Exceso de medidas tcnicas en detrimento de la formacin, concienciacin y medidas de tipo organizativo. Falta de comunicacin de los progresos al personal de la organizacin. Consejos bsicos Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de trabajo, un proceso de negocio clave, un nico centro de proceso de datos o un rea sensible concreta; una vez conseguido el xito y observados los beneficios, ampliar gradualmente el alcance en sucesivas fases. Comprender en detalle el proceso de implantacin: iniciarlo en base a cuestiones exclusivamente tcnicas es un error frecuente que rpidamente sobrecarga de problemas la implantacin; adquirir experiencia de otras implantaciones, asistir a cursos de formacin o contar con asesoramiento de consultores externos especializados. Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.
La autoridad y compromiso decidido de la Direccin de la empresa -incluso si al inicio el alcance se restringe a un alcance reducido- evitarn un muro de excusas para desarrollar las buenas prcticas, adems de ser uno de los puntos fundamentales de la norma. La certificacin como objetivo: aunque se puede alcanzar la conformidad con la norma sin certificarse, la certificacin por un tercero asegura un mejor enfoque, un objetivo ms claro y tangible y, por lo tanto, mejores opciones de alcanzar el xito. No reinventar la rueda: aunque el objetivo sea ISO 27001, es bueno obtener informacin relativa a la gestin de la seguridad de la informacin de otros mtodos y marcos reconocidos. Servirse de lo ya implementado: otros estndares como ISO 9001 son tiles como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a auditores internos y responsables de otros sistemas de gestin. Reservar la dedicacin necesaria diaria o semanal: el personal involucrado en el proyecto debe ser capaz de trabajar con continuidad en el proyecto.
Registrar evidencias: deben recogerse evidencias al menos tres meses antes del intento de certificacin para demostrar que el SGSI funciona adecuadamente. Otros Estndares Las normas publicadas bajo la serie ISO 27000 son estndares alineados con el conjunto de normas publicadas por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) actuales o futuras y que son desarrolladas mediante comits tcnicos especficos. Aquellas organizaciones que ya empleen algn estndar o conjunto de buenas prcticas en seguridad de la informacin en base a otros modelos de gestin, obtendrn el beneficio de una adaptacin y certificacin en la norma ISO 27001 con un menor esfuerzo. En relacin a la seguridad de la informacin, gestin del riesgo, continuidad de negocio y materias relacionadas, se incluye a continuacin una seleccin de los estndares y mtodos de referencia ms conocidos y relevantes. Adems de los aqu resumidos, existen muchos otros estndares, guas, metodologas y buenas prcticas dedicados a distintos aspectos de la seguridad de la informacin, publicados por prestigiosas instituciones en todo el mundo. Normas ISO del SC27 ISO es la Organizacin Internacional para la Estandarizacin, creada en Febrero de 1947 y con sede en Ginebra, que cuenta con la representacin de 153 pases con el objetivo de lograr la coordinacin internacional y la unificacin de estndares en la industria. ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) han establecido un comit tcnico conjunto especfico para las Tecnologas de la Informacin denominado JTCI (Joint Technical Committee). Dentro de dicho comit, el subcomit SC27 es el encargado del desarrollo de proyectos en tcnicas de seguridad, labor que realiza a travs de cinco grupos de trabajo (WG1, WG2, WG3, WG4 y WG5). Dispone de una pgina web (www.jtc1sc27.din.de/en) donde se puede acceder a informacin sobre su mbito, organizacin, agenda de reuniones y temas de trabajo. Cada pas miembro establece subcomits espejo que coordinan los trabajos a nivel nacional. En Espaa, es AENOR quien tiene dicha responsabilidad. Lo hace a travs del subcomit AEN/CTN 71/SC "Tcnicas de Seguridad Tecnologa de la Informacin" y de sus correspondientes grupos de trabajo GT1, GT2, GT3, GT4 y GT5. El Ministerio de Administraciones Pblicas espaol ofrece en su pgina web una informacin detallada sobre todos estos aspectos, en especial de las aportaciones espaolas realizadas a travs del GT1.
ISO JTC1 / SC27 / WG1: Sistemas de gestin de seguridad de la informacin SGSI. Las actividades de este grupo de trabajo incluyen: Desarrollo y mantenimiento de la familia de normas ISO/IEC 27000. Identificacin de requisitos para futuros estndares y directrices relativas a los SGSI. Colaboracin con otros grupos de trabajo del SC27, en particular con el WG4 en cuanto a estndares relativos a la implementacin de objetivos de control y controles definidos en ISO/IEC 27001. Contacto y colaboracin con otros comits y organizaciones relacionadas con los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad), ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, OCDE, etc.
ISO JTC1 / SC27 / WG2: Mecanismos de seguridad y criptografa. Las actividades de este grupo de trabajo incluyen: Identificacin de las necesidades y los requisitos de tcnicas y mecanismos de seguridad en sistemas y aplicaciones de TI. Desarrollo de terminologa, modelos generales y estndares de dichas tcnicas y mecanismos para su uso en servicios de seguridad. Tratamiento de todas las tcnicas y mecanismos, sean criptogrficos o no, que cubran aspectos como confidencialidad, autenticacin, no repudio, gestin de claves, integridad, etc.
ISO JTC1 / SC27 / WG3: Criterios de evaluacin de la seguridad. Las actividades de este grupo de trabajo incluyen: Desarrollo de estndares de evaluacin y certificacin de la seguridad de sistemas, componentes y productos de tecnologas de la informacin. Tratamiento de los tres aspectos a considerar en este mbito: criterios de evaluacin, metodologa de aplicacin de dichos criterios y procedimientos administrativos para la evaluacin, la certificacin y los esquemas de acreditacin. Coordinacin con los comits ISO responsables de estndares de comprobacin y gestin de calidad para no duplicar esfuerzos.
ISO JTC1 / SC27 / WG4: servicios y controles de seguridad. Las actividades de este grupo de trabajo incluyen: El desarrollo y mantenimiento de estndares y directrices relativas a servicios y aplicaciones que apoyen la implantacin de objetivos de control y controles definidos en ISO/IEC 27001.
Identificacin de requisitos y desarrollo de futuros estndares en reas como continuidad de negocio, ciberseguridad, externalizacin (outsourcing), etc. Colaboracin con otros grupos de trabajo del SC27, en particular con el WG1. Contacto y colaboracin con otros comits y organizaciones relacionadas con los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad), ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, OCDE, etc.
ISO JTC1 / SC27 / WG5: tecnologas de gestin de identidad y privacidad. Las actividades de este grupo de trabajo incluyen: Desarrollo y mantenimiento de estndares y directrices relativos a los aspectos de seguridad de la gestin de identidad, biometra y proteccin de datos personales. Identificacin de requisitos y desarrollo de futuros estndares en reas como control de acceso basado en roles (RBAC), provisioning, identificadores, single sign-on, anonimato y credenciales, infraestructuras de privacidad, tecnologas para la mejora de la privacidad (PETs), tcnicas de autenticacin biomtrica, proteccin de datos biomtricos, etc. Colaboracin con otros grupos de trabajo del SC27: WG1 en aspectos de gestin, WG2 en tcnicas de seguridad y WG3 en evaluacin. Contacto y colaboracin con otros comits y organizaciones tales como ISO/IEC SC37 (biometra), ECRYPT, FIDIS, etc.
Puede obtenerse una lista actualizada de los estndares en vigor publicados por el subcomit 27 en el siguiente enlace. Puede obtenerse una lista actualizada de los estndares en desarrollo del subcomit 27 en el siguiente enlace. ISO/IEC 20000 Es el primer estndar internacional certificable para la gestin de servicios TI. Proviene del estndar britnico BS 15000. ISO 20000-1: especificaciones en las cuales se describe la adopcin de un proceso de mejora integrado para el desempeo y gestin de los servicios acorde a los requisitos del negocio y del cliente. Este documento comprende 10 secciones: Alcance, Trminos y definiciones, Requisitos de un sistema de gestin, Planificacin e implantacin de la gestin de servicio, Planificacin e implantacin de servicios nuevos o modificados, Proceso de entrega de servicios, Procesos de relacin, Procesos de resolucin, Procesos de control y Procesos de liberacin. ISO 20000-2: cdigo de prcticas donde se describen las mejores prcticas para la gestin de los servicios y dentro del mbito indicado por la norma ISO 20000-1.
ISO 20000 incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma predecesora BS 15000, fue inicialmente desarrollada para indicar las mejores prcticas contenidas dentro del marco ITIL. Por tanto, aunque ITIL no es de obligada aplicacin para la implantacin en la norma ISO 20000, s suele ser una adecuada referencia para aquellas organizaciones que desean la implantacin de ste norma mediante la introduccin de un paso intermedio. ITIL IT Infrastructure Library (ITIL) es un conjunto de publicaciones para las mejores prcticas en la gestin de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas segn necesidades, circunstancias y experiencia de cada proveedor de servicios.
Fue integrada en las series BS 15000 (ISO 20000 desde Diciembre 2005) con el consenso de BSI, itSMF y OGC, con el propsito de que los dos conjuntos de publicaciones formen parte de la misma estructura lgica para mejor comprensin en su publicacin y difusin. ITIL sirve de base para el estndar ISO 20000 y consta de 7 bloques principales: Managers Set, Service Support, Service Delivery, Software Support, Networks, Computer Operations y Environmental: Las reas cubiertas por ITIL en cada documento publicado por la OGC son:
Soporte al servicio: asegurar que el cliente (externo o interno) recibe adecuadamente un servicio, que es gestionado adems de la mejor forma posible. Entrega del servicio: administracin de los servicios de soporte y mantenimiento que se prestan al cliente. Planificacin de la implantacin: determina las ventajas de implantar ITIL en una determinada organizacin. Administracin de aplicaciones: conjunto de buenas prcticas para la gestin de todo el ciclo de vida de las aplicaciones, centrndose sobre todo en definicin de requisitos e implementacin de soluciones. Administracin de la infraestructura de tecnologas de la informacin y comunicaciones: gestin de la administracin de sistemas como mquinas, redes o sistemas operativos, entre otros. Administracin de seguridad: proceso para la implantacin de requerimientos de seguridad; relaciona las reas ITIL de soporte y entrega de servicio. Administracin de activos de software: pautas necesarias para la gestin del software adquirido y/o de desarrollo propio. Entrega de servicios desde un punto de vista de negocio: fidelizacin de clientes, servicios de externalizacin y gestin del cambio, entre otros.
NIST Serie 800 El National Institute of Standards and Technology (NIST), fundado en 1901, es un organismo federal no regulador que forma parte de la Administracin de Tecnologa (Technology Administration) del Departamento de Comercio (Department of Commerce) de los EE.UU. La misin del NIST consiste en elaborar y promover patrones de medicin, normas y tecnologa con el fin de incrementar la productividad, facilitar el comercio y mejorar la calidad de vida. Distintos principios y prcticas en seguridad comunes y de aplicacin tanto en agencias gubernamentales como en corporaciones privadas estn recogidos en una larga lista de publicaciones identificadas bajo la Serie 800 y disponibles para su libre descarga. Estas guas y directrices son documentos muy elaborados y de reconocido prestigio, que cubren mltiples aspectos relacionados con la seguridad de la informacin y que pueden servir de apoyo a la hora de desarrollar polticas, procedimientos y controles. CobiT El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administracin, seguridad y aseguramiento TI. Como consecuencia de su rpida difusin internacional, ambas instituciones
disponen de una amplia gama de publicaciones y productos diseados para apoyar una gestin efectiva de las TI en el mbito de la empresa. Uno de sus documentos ms conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para tecnologas de la informacin y similares). Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) y COSO, que incorpora aspectos fundamentales de otros estndares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado segn las prcticas sealadas por CobiT estn ms cerca de adaptarse y lograr la certificacin en ISO 27001. CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 34 procesos de TI. Cada proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos de control detallados, directrices de gestin y el modelo de madurez para el objetivo) que dan una visin completa de cmo controlar, gestionar y medir el proceso. Utiliza un ciclo de vida de tipo PDCA que lo integra en los procesos de negocio. No existe un certificado en las prcticas indicadas por CobiT, aunque ISACA s ofrece la posibilidad a ttulo personal de obtener certificaciones como Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) y "Certified in the Governance of Enterprise IT" CGEIT.
UNE 71502:2004 Norma espaola certificable, desarrollada en base a BS7799-2:2002, que establece las especificaciones para los sistemas de gestin de seguridad de la informacin. Guarda relacin con UNE-ISO/IEC17799:2002 mediante su Anexo A. Elaborada por el comit tcnico AEN/CTN 71 de la Tecnologa de la Informacin, especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI dentro del contexto de los riesgos identificados por la organizacin. Fue publicada en Febrero de 2004 ante la perspectiva de la publicacin de la norma internacional para el 2008-2009. Sin embargo, la publicacin anticipada de ISO 27001 en el ao 2005 acort la vigencia de la
norma espaola. Con la traduccin al espaol de ISO 27001 y su publicacin como UNE-ISO/IEC 27001, UNE 71502 quedar anulada el 31-12-2008. Puede adquirirse en AENOR. Normas para consulta: UNE71501-1 IN Parte 1: Conceptos y modelos para la seguridad TI UNE71501-2 IN Parte 2: Gestin y planificacin de la seguridad TI UNE71501-3 IN Parte 3: Tcnicas para la gestin de la seguridad TI UNE-ISO/IEC 17799:2002 Cdigo de buenas prcticas para la gestin de la seguridad de la informacin. Aquellas empresas y organizaciones que hayan evolucionado segn las prcticas sealadas por UNE 71502:2004 requieren de un esfuerzo mnimo para su reconocimiento internacional bajo la norma ISO 27001.
Puede descargar esta tabla comparativa en formato .pdf aqu. BS 7799-3 BSI (British Standards Institution) public en 2006 la tercera parte de BS 7799, dedicada a la gestin de riesgos de seguridad de la informacin.
ISO 27001 (evolucionada a partir de BS 7799-2) indica que las organizaciones deben identificar, evaluar, tratar y gestionar los riesgos de seguridad de la informacin, pero no da indicaciones ms detalladas de cmo realizar dicho proceso ni de cmo situar dichos riesgos en el marco de los riesgos generales de la empresa. BS7799-3 profundiza en estos aspectos y da directrices sobre evaluacin de riesgos, tratamiento de riesgos, toma de decisiones por parte de la Direccin, re-evaluacin de riesgos, monitorizacin y revisin del perfil de riesgo, riesgos de seguridad de la informacin en el contexto del gobierno corporativo y conformidad con otros estndares y regulaciones sobre el riesgo. PAS 99 BSI (British Standards Institution) public en 2006 el documento PAS 99 (PAS = Publicly Available Specification), que especifica los requisitos comunes de los sistemas de gestin y puede ser utilizado por las organizaciones como un marco de integracin de sistemas. Hoy en da, es bastante habitual que las organizaciones tengan implantados varios sistemas de gestin: calidad segn ISO 9001, medio ambiente segn ISO 14001, seguridad y salud laboral segn OHSAS 18001, seguridad de la informacin segn ISO 27001... Todos estos sistemas tienen metodologas, procesos, objetivos, documentacin, etc., en comn, lo que abre el camino a la integracin de los mismos en un solo sistema de gestin, buscando sinergias, mejoras en la productividad, mayor sencillez de uso y facilidad de implantacin y mantenimiento. PAS 99 da directrices sobre cmo abordar un proceso de integracin de sistemas de gestin, teniendo en cuenta los seis requisitos comunes establecidos en la Gua ISO 72 y siguiendo el enfoque PDCA (Plan-Do-CheckAct). BSI pone a disposicin otras publicaciones relacionadas con la integracin de sistemas. BS 25999 Cada vez resulta ms importante para las empresas el disponer de planes de continuidad de negocio que minimicen la inactividad de la organizacin en caso de cualquier tipo de interrupcin. BSI (British Standards Institution) public en 2006 BS25999-1, que es un cdigo de buenas prcticas dedicado a la gestin de la continuidad de negocio. Con origen en PAS 56:2003, BS 25999-1 establece el proceso por el cual una organizacin puede desarrollar e implementar la continuidad de negocio, incluyendo una completa lista de controles basada en las mejores prcticas de BCM (Business Continuity Management). Est pensada para su uso por cualquier organizacin grande, mediana o pequea, tanto del sector pblico como privado. En 2007, fue publicada BS 25999-2, que especifica los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestin de continuidad de negocio documentado en el
contexto de la gestin global de riesgos de una organizacin. En base a esta norma pueden ser certificados los sistemas de gestin de continuidad de negocio. BS 25777 BSI (British Standards Institution) public en 2006 un documento llamado PAS 77 (PAS = Publicly Available Specification), que es un cdigo de buenas prcticas que establece un marco y da unas directrices generales para crear un plan de continuidad de servicios de tecnologas de la informacin. Desarrollado por BSI en conjunto con Adam Continuity, Dell Corporation, Unisys y SunGard, est orientado para organizaciones de todo tipo. BSI tiene el objetivo de desarrollar este documento PAS como un estndar llamado BS 25777 a lo largo de 2008 y 2009. Est previsto que en otoo de 2008 se publique BS 25777-1, que ser un cdigo de buenas prcticas sobre cmo abordar la gestin de la continuidad de servicios TI en una organizacin. A finales de 2009, se publicar la segunda parte, BS 25777-2, que especificar los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestin de continuidad de servicios TI. En base a esta segunda parte, podrn ser auditados y certificados los sistemas de gestin de las organizaciones por entidades de certificacin. COSO-Enterprise Risk Management / SOX El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido una definicin comn de controles internos, normas y criterios contra los cuales las empresas y organizaciones pueden evaluar sus sistemas de control. COSO est patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of Management Accountants (IMA). El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de 1995 y COSO de 1992/94). Existe una relacin directa entre los objetivos que la entidad desea lograr y los componentes de la gestin de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relacin se representa con una matriz tridimensional, en forma de cubo.
Las cuatro categoras de objetivos (estrategia, operaciones, informacin y conformidad) estn representadas por columnas verticales, los ocho componentes lo estn por filas horizontales y las unidades de la entidad, por la tercera dimensin del cubo. Desde este enlace se puede acceder a la lista completa de publicaciones que incorpora. Informacin adicional en el informe ejecutivo y marco general de la norma. COSO se puede combinar con CobiT o con ITIL como modelo de control para procesos y gestin TI. COSO est teniendo una difusin muy importante en relacin a la conocida como Ley Sarbanes-Oxley. No se trata de un marco o estndar especfico de seguridad de la informacin pero, por el impacto que est teniendo en muchas empresas y por sus implicaciones indirectas en la seguridad de la informacin, conviene mencionarlo en esta seccin. La Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para proteger a los inversores frente a una falsa presentacin de la situacin de las empresas. Entr en vigor el 30 de julio de 2002 y tiene validez tanto para empresas nacionales estadounidenses como para extranjeras que coticen en las bolsas de aquel pas. Adems del registro en un servicio de inspeccin pblica, SOX exige el establecimiento de un sistema de control interno para la elaboracin de informes financieros. La ley requiere una mayor transparencia de informacin, ampla los deberes de publicacin y formaliza los procesos que preceden a la elaboracin de un informe de la empresa. Es la ya famosa Seccin 404 la que establece que la gerencia debe generar un informe anual de control interno, en el cual se confirme la responsabilidad de la direccin en la implantacin y mantenimiento de unos procedimientos y una estructura de control interno adecuados para la informacin financiera. El marco ms empleado por las empresas para cumplir con esta obligacin es, precisamente, el de gestin del riesgo empresarial de COSO. Este sistema de control tiene tambin un importante reflejo en el rea de seguridad de la informacin. Uno de los marcos que ms se utilizan para
implantar el sistema en esta rea es CobiT. Ms especficamente, ISACA ha publicado un documento de controles TI para Sarbanes-Oxley, basado en directrices de COSO, con referencias cruzadas a CobiT. Certificacin La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto quiere decir que la organizacin que tenga implantado un SGSI puede solicitar una auditora a una entidad certificadora acreditada y, caso de superar la misma con xito, obtener una certificacin del sistema segn ISO 27001. En las siguientes secciones, se abordan diferentes temas relacionados con la certificacin. Acceda directamente a cada una de ellas desde el men del recuadro verde de la izquierda o descargue en pdf el documento completo.
Implantacin del SGSI Evidentemente, el paso previo a intentar la certificacin es la implantacin en la organizacin del sistema de gestin de seguridad de la informacin segn ISO 27001. Este sistema deber tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditora para su primera certificacin. ISO 27001 exige que el SGSI contemple los siguientes puntos: Implicacin de la Direccin. Alcance del SGSI y poltica de seguridad. Inventario de todos los activos de informacin. Metodologa de evaluacin del riesgo. Identificacin de amenazas, vulnerabilidades e impactos. Anlisis y evaluacin de riesgos. Seleccin de controles para el tratamiento de riesgos. Aprobacin por parte de la direccin del riesgo residual. Declaracin de aplicabilidad. Plan de tratamiento de riesgos. Implementacin de controles, documentacin de polticas, procedimientos e instrucciones de trabajo. Definicin de un mtodo de medida de la eficacia de los controles y puesta en marcha del mismo. Formacin y concienciacin en lo relativo a seguridad de la informacin a todo el personal. Monitorizacin constante y registro de todas las incidencias.
Realizacin de auditoras internas. Evaluacin de riesgos peridica, revisin del nivel de riesgo residual, del propio SGSI y de su alcance. Mejora continua del SGSI.
La documentacin del SGSI deber incluir: Poltica y objetivos de seguridad. Alcance del SGSI. Procedimientos y controles que apoyan el SGSI. Descripcin de la metodologa de evaluacin del riesgo. Informe resultante de la evaluacin del riesgo. Plan de tratamiento de riesgos. Procedimientos de planificacin, manejo y control de los procesos de seguridad de la informacin y de medicin de la eficacia de los controles. Registros. Declaracin de aplicabilidad (SOA -Statement of Applicability-). Procedimiento de gestin de toda la documentacin del SGSI.
Hay una serie de controles clave que un auditor va a examinar siempre en profundidad: Poltica de seguridad. Asignacin de responsabilidades de seguridad. Formacin y capacitacin para la seguridad. Registro de incidencias de seguridad. Gestin de continuidad del negocio. Proteccin de datos personales. Salvaguarda de registros de la organizacin. Derechos de propiedad intelectual.
El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO 14001). La propia norma ISO 27001 incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentacin necesaria, con objeto de facilitar la integracin. Es recomendable integrar los diferentes sistemas, en la medida que sea posible y prctico. En el caso ideal, es posible llegar a un solo sistema de gestin y control de la actividad de la organizacin, que se puede auditar en cada momento desde la perspectiva de la seguridad de la informacin, la calidad, el medio ambiente o cualquier otra. Auditora y certificacin Una vez implantado el SGSI en la organizacin, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditora y certificacin, que se desarrolla de la siguiente forma: Solicitud de la auditora por parte del interesado a la entidad de certificacin y toma de datos por parte de la misma. Respuesta en forma de oferta por parte de la entidad certificadora. Compromiso. Designacin de auditores, determinacin de fechas y establecimiento conjunto del plan de auditora. Pre-auditora: opcionalmente, puede realizarse una auditora previa que aporte informacin sobre la situacin actual y oriente mejor sobre las posibilidades de superar la auditora real. Fase 1 de la auditora: no necesariamente tiene que ser in situ, puesto que se trata del anlisis de la documentacin por parte del Auditor Jefe y la preparacin del informe de la documentacin bsica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarn en la Fase 2. Este informe se enva junto al plan de auditora al cliente. El periodo mximo entre la Fase 1 y Fase 2 es de 6 meses. Fase 2 de la auditora: es la fase de detalle de la auditora, en la que se revisan in situ las polticas, la implantacin de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunin de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, as como posibles cambios de ltima hora. Se realiza una revisin de las exclusiones segn la Declaracin de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantacin de polticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de inters. Finaliza con una reunin de cierre en la que se presenta el informe de auditora. Certificacin: en el caso de que se descubran durante la auditora no conformidades graves, la organizacin deber implantar acciones correctivas; una vez verificada dicha implantacin o, directamente, en el caso de no haberse presentado no conformidades, el auditor podr emitir un informe favorable y el SGSI de organizacin ser certificado segn ISO 27001.
Auditora de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditora de mantenimiento; esta auditora se centra, generalmente, en partes del sistema, dada su menor duracin, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua. Auditora de re-certificacin: cada tres aos, es necesario superar una auditora de certificacin formal completa como la descrita.
Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente, en BS 7799-2) por entidades acreditadas figuran listadas en http://www.iso27001certificates.com. Para aquellas organizaciones que lo han autorizado, tambin est publicado el alcance de certificacin. Naturalmente, la organizacin que implanta un SGSI no tiene la obligacin de certificarlo. Sin embargo, s es recomendable ponerse como objetivo la certificacin, porque supone la oportunidad de recibir la confirmacin por parte
de un experto ajeno a la empresa de que se est gestionando correctamente la seguridad de la informacin, aade un factor de tensin y de concentracin en una meta a todos los miembros del proyecto y de la organizacin en general y enva una seal al mercado de que la empresa en cuestin es confiable y es gestionada transparentemente. La entidad de certificacin Las entidades de certificacin son organismos de evaluacin de la conformidad, encargados de evaluar y realizar una declaracin objetiva de que los servicios y productos cumplen unos requisitos especficos. En el caso de ISO 27001, certifican, mediante la auditora, que el SGSI de una organizacin se ha diseado, implementado, verificado y mejorado conforme a lo detallado en la norma. Existen numerosas entidades de certificacin en cada pas, ya que se trata de una actividad empresarial privada con un gran auge en el ltimo par de dcadas, debido a la creciente estandarizacin y homologacin de productos y sistemas en todo el mundo. La organizacin que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidindose por la ms conveniente, como hace con cualquier otro producto o servicio. Para que las entidades de certificacin puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditacin, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificacin para la actividad objeto de acreditacin. En cada pas suele haber una sola entidad de acreditacin (en algunos, hay ms de una), a la que la Administracin encarga esa tarea. En Espaa, es ENAC (Entidad Nacional de Acreditacin); para otros pases, puede consultarse una lista. La acreditacin de entidades de certificacin para ISO 27001 o para BS 7799-2 -antes de derogarse- suele hacerse en base al documento EA 7/03 "Directrices para la acreditacin de organismos operando programas de certificacin/registro de sistemas de gestin de seguridad en la informacin". En el futuro, ser la norma ISO 27006 la que regule directamente estas cuestiones. Las entidades de acreditacin establecen acuerdos internacionales para facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones como IAF (International Accreditation Forum) o EA (European co-operation for Accreditation). El auditor El auditor es la persona que comprueba que el SGSI de una organizacin se ha diseado, implementado, verificado y mejorado conforme a lo detallado en la norma. En general, se distinguen tres clases de auditores:
De primera parte: auditor interno que audita la organizacin en nombre de s misma, normalmente, como mantenimiento del sistema de gestin y como preparacin a la auditora de certificacin; De segunda parte: auditor de cliente, es decir, que audita una organizacin en nombre de un cliente de la misma; por ejemplo, una empresa que audita a su proveedor de outsourcing; De tercera parte: auditor independiente, que audita una organizacin como tercera parte imparcial; normalmente, porque la organizacin tiene la intencin de lograr la certificacin y contrata para ello los servicios de una entidad de certificacin.
El auditor, sobre todo si acta como de tercera parte, ha de disponer tambin de una certificacin personal. Esto quiere decir que, nuevamente un tercero, certifica que posee las competencias profesionales y personales necesarias para desempear la labor de auditora de la materia para la que est certificado. En este punto, hay pequeas diferencias entre las entidades certificadoras, que pueden formular requisitos distintos para homologar a sus auditores. Pero, en general, la certificacin de auditores se cie a la norma ISO 19011 de directrices para la auditora de sistemas de gestin, que dedica su punto 7 a la competencia y evaluacin de los auditores. Al auditor se le exigen una serie de atributos personales, conocimientos y habilidades, educacin formal, experiencia laboral y formacin como auditor. Existen diversas organizaciones internacionales de certificacin de auditores, con el objeto de facilitar la estandarizacin de requerimientos y garantizar un alto nivel de profesionalidad de los auditores, adems de homologar a las instituciones que ofrecen cursos de formacin de auditor. Algunas de estas organizaciones son IRCA, RABQSA o IATCA. IRCA (International Register of Certificated Auditors) es el mayor organismo mundial de certificacin de auditores de sistemas de gestin. Tiene su sede en el Reino Unido y, por ello -debido al origen ingls de la norma BS 7799-2 y, por tanto, de ISO 27001-, tiene ya desde hace aos un programa de certificacin de auditores de sistemas de gestin de seguridad de la informacin. Su pgina web, tambin en espaol, es una buena fuente de consulta de los requisitos y los grados de auditor. Dispone de un enlace directo a las ltimas novedades del IRCA desde nuestra seccin de boletines. En cuanto a la prctica de la auditora, al auditor se le exige que se muestre tico, con mentalidad abierta, diplomtico, observador, perceptivo, verstil, tenaz, decidido y seguro de s mismo. Estas actitudes son las que deberan crear un clima de confianza y colaboracin entre auditor y auditado. El auditado debe tomar el proceso de auditora siempre desde un punto de vista constructivo y de mejora continua, y no de fiscalizacin de sus actividades. Para ello, el auditor debe fomentar en todo momento un ambiente de tranquilidad, colaboracin, informacin y trabajo conjunto. Herramientas
Esta seccin incluye enlaces a diferentes herramientas y recursos relacionados con sistemas de gestin de seguridad de la informacin. Una parte de estas herramientas son gratuitas. Navegue a travs del submen lateral por los distintos apartados.
Normas, guas y buenas prcticas generales www.iso27001certificates.com Base de datos con todas las empresas certificadas en BS7799-2 e ISO 27001. www.iso.org/... Normas ISO de descarga gratuita relativas a tecnologas de la informacin. www.aenor.es/... Compra de normas UNE / ISO. www.iso27000.es/download/ControlesISO27002-2005.pdf Lista en espaol de los controles de ISO 27002:2005. www.ongei.gob.pe/bancos/banco_normas/archivos/P01-PCM-ISO17799-001V2.pdf Norma Tcnica Peruana NTP-ISO/IEC 17799:2007, traduccin al espaol de ISO/IEC 27002:2005. www.bsi-global.com/en/Shop/ Compra de normas de la "British Standards Institution". www.oecd.org/dataoecd/15/29/34912912.pdf Directrices de la OCDE para la seguridad de sistemas y redes de informacin: hacia una cultura de seguridad. En espaol. www.ism3.com ISM3 (ISM Cubo) es un estndar de madurez de seguridad de la informacin compatible con la implantacin de ISO 27001, CobiT, ITIL e ISO 9001, desarrollado por el espaol Vicente Aceituno. www.bsi.de/english/gshb/guidelines/guidelines.pdf Gua en ingls de buenas prcticas de seguridad de la informacin del "Bundesamt fr Sicherheit in der Informationstechnik" de Alemania. www.bsi.de/english/gshb/manual/index.htm "IT-Grundschutz", manual de ms de 2.300 pginas sobre gestin de seguridad de la informacin editado por el "Bundesamt fr Sicherheit in der
Informationstechnik" de Alemania. Armonizado con ISO 27001, entre otras normas. www.bsi.de/english/... Estndar de requerimientos generales de un SGSI segn el "Bundesamt fr Sicherheit in der Informationstechnik" de Alemania. Armonizado con ISO 27001, entre otras normas. www.bsi.de/english/... Metodologa de gestin de seguridad de la informacin del "Bundesamt fr Sicherheit in der Informationstechnik" de Alemania. Armonizada con ISO 27001, entre otras normas. www.dsd.gov.au/library/infosec/acsi33.html Manual de seguridad TIC en ingls del gobierno australiano (ACSI 33). www.isfsecuritystandard.com Estndar de seguridad de la informacin del "Information Security Forum". www.isaca.org/cobit CobiT (Control Objectives for Information and related Technology). Marco para el buen gobierno de las TI. Versiones en diversos idiomas, incluido espaol. www.isaca.org/... Gua de alineamiento de CobiT, ITIL e ISO 17799. www.isaca.org/... Gua de alineamiento de CobiT con mltiples estndares. www.isecom.org/osstmm OSSTMM (Open Source Security Testing Methodology Manual). Tambin en espaol. cordis.europa.eu/infosec/src/down.htm ITSEC (Information Technology Security Evaluation Criteria). Editado por la Comisin Europea. cordis.europa.eu/infosec/src/down.htm ITSEM (Information Technology Security Evaluation Manual). Editado por la Comisin Europea. www.tisn.gov.au/agd/... Manual de gestin de ataques DoS y DDoS del Trusted Information Sharing Network de Australia. www.frc.org.uk/...
Turnbull Guidance del Financial Reporting Council. www.theiia.org/guidance/technology/gait Guide to the Assessment of IT General Controls Scope Based on Risk (GAIT) del Institute of Internal Auditors. Metodologa de evaluacin de controles de tecnologas de la informacin. Sirve de apoyo para la implantacin de Sarbanes-Oxley. csrc.nist.gov/publications/CSD_DocsGuide.pdf Resumen de todas las guas publicadas por NIST (National Institute of Standards and Technology de EEUU). csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf Gua de mtricas de seguridad. Publicada por NIST (National Institute of Standards and Technology de EEUU). csrc.nist.gov/publications/drafts/draft-sp800-80-ipd.pdf Borrador de la gua de desarrollo de mtricas de seguridad. Publicada por NIST (National Institute of Standards and Technology) de EEUU. www.iso27001security.com/ISO_27000_implementation_guidance_v1_Spanish .rtf Versin en espaol de la gua de implantacin y de mtricas para cada objetivo de control de ISO 27002 publicada por el "ISO27k implementers forum". www.infodev-security.net/handbook Manual de seguridad de las tecnologas de la informacin para pases en vas de desarrollo del Banco Mundial. www.isaca.org/Template.cfm... IT Control Objectives for Sarbanes-Oxley. Publicada por IT Governance Institute. www.ncinfragard.org/pdf/... Gua de aseguramiento de activos crticos de informacin. Publicada por la Critical Infrastructure Assurance Office de EEUU. www.fas.org/irp/offdocs/dcid6-9.pdf Directiva de EEUU sobre seguridad fsica de edificios e instalaciones. www.nsa.gov/snac/index.cfm?MenuID=scg10.3.1 Guas de configuracin de seguridad de la National Security Agency de EEUU. wiki.internet2.edu/... Gua de prcticas y soluciones de seguridad TI.
www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISAES.pdf Gua en espaol de creacin de un equipo de respuesta a incidentes de seguridad informtica. www.sans.org/reading_room/whitepapers/incident/1791.php Propuesta de proceso de gestin de incidentes de seguridad para Pymes. www2.norwich.edu/mkabay/infosecmgmt/csirtm.pdf Cmo gestionar un equipo de respuesta a incidentes de seguridad informtica. portal.aragob.es/pls... Gua bsica en espaol de seguridad para Pymes y autnomos (Gobierno de Aragn). www.vdigitalrm.com/archivos/guia_seguridad_pymes.pdf Gua en espaol de gestin de la seguridad de la informacin para Pymes (Gobierno Regin de Murcia). www.sabsa-institute.org SABSA, una metodologa de desarrollo de arquitecturas de seguridad corporativas. pegasus.javeriana.edu.co/~regisegu/ Gua en espaol de una metodologa para la gestin centralizada de registro de eventos de seguridad en Pymes. www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030168495 PAS 99:2006, Especificacin de los requisitos comunes del sistema de gestin como marco para la integracin. Gua de BSI (British Standards Institution) en espaol de cmo integrar diversos sistemas de gestin. www.treasury.nsw.gov.au/procurement/ict-map Mapa de procesos TIC con procedimientos documentados del gobierno de Nueva Gales del Sur. www.gcio.nsw.gov.au/library/a-to-z Biblioteca de procedimientos documentados de procesos TIC del gobierno de Nueva Gales del Sur. Herramientas para anlisis de riesgos www.enisa.europa.eu/rmra/rm_home.html Inventario de metodologas y herramientas de anlisis y gestin de riesgos de ENISA (European Network and Information Security Agency). Incluye sistema de comparativas.
www.enisa.europa.eu/rmra/... Gua de evaluacin y gestin del riesgo para Pymes. www.csi.map.es/csi/pg5m20.htm MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin), promovida por el Ministerio de Administraciones Pblicas de Espaa. www.ar-tools.com EAR (Entorno de anlisis de riesgos). Herramienta en espaol, basada en Magerit, no gratuita. Diseada por Jos Antonio Maas, redactor de Magerit. www.ar-tools.com/pilar PILAR. Herramienta de anlisis de riesgos, basada en Magerit, en espaol, exclusiva para las Administraciones Pblicas espaolas. Diseada por Jos Antonio Maas, redactor de Magerit. www.sigea.es GxSGSI. Software de anlisis de riesgos, en espaol, de la empresa SIGEA. www.bsi-global.com/en/Shop... BS 7799-3:2006 es el estndar de gestin del riesgo de la seguridad de la informacin de la British Standards Institution. www.saiglobal.com/shop/script/... AS/NZS 4360:2004 es el estndar australiano de gestin de riesgos de la seguridad de la informacin, de amplia difusin internacional. www.ssi.gouv.fr/es/confianza/ebiospresentation.html EBIOS (Expression des Besoins et Identification des Objectifs de Scurit). Metodologa de gestin de los riesgos de seguridad de sistemas de informacin desarrollada por la "Direction Centrale de la Scurit des Systmes dInformation" francesa. Disponible en espaol. Est acompaada por un software multilinge -francs, ingls, alemn, espaol- con descargables para varias plataformas -Windows, Linux, Solaris-. www.bsi.de/english/... Estndar de anlisis de riesgos del "Bundesamt fr Sicherheit in der Informationstechnik" de Alemania. www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES MEHARI (Mthode Harmonise d'Analyse de Risques). Mtodo de anlisis y gestin del riesgo desarrollado por el Clusif (Club de la Scurit des Systmes dInformation Franais). www.cert.org/octave
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation). Metodologa de evaluacin de riesgos desarrollada por el Software Engineering Institute (SEI) de la Carnegie Mellon University. Incluye OCTAVE-S, una versin para pequeas empresas (menos de 100 empleados). oattool.aticorp.org/Tool_Info.html Octave Automated Tool es un software -no gratuito- que implementa la metodologa de evaluacin de riesgos OCTAVE. www.cramm.com CRAMM (CCTA Risk Analysis and Management Method). Metodologa y herramienta de anlisis y gestin de riesgos desarrollada por la "Central Computer and Telecommunications Agency" del Reino Unido y gestionada por "Insight Consulting Limited" (Grupo Siemens). Existe en versin Expert y Express, incluye software y no es gratuita. www.riskwatch.com/products/isa.asp RiskWatch es un software no gratuito de realizacin de anlisis de riesgos. www.securityforum.org/html/current_iram.htm IRAM (Information Risk Analysis Methodologies) es una metodologa de anlisis de riesgos del Information Security Forum slo disponible para sus miembros. www.securityforum.org/html/sample.htm#ira FIRM (Fundamental Information Risk Management) es una metodologa de gestin de riesgos del Information Security Forum slo disponible para sus miembros. www.citicus.com/oursoftware_softwarecapabilities.asp Citicus ONE es un software comercial (disponible en varios idiomas, pero no en espaol) de gestin de riesgos de seguridad de la informacin, basado en la metodologa FIRM. csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf "Risk management guide for information technology systems". Publicada por NIST (National Institute of Standards and Technology) de EEUU. www.cse-cst.gc.ca/publications/gov-pubs/itsg/itsg-e.html Guas en ingls de evaluacin de riesgos de sistemas de informacin del "Canadian Government Communications Security Establishment". Documentos ITSG-04, MG-2, MG-3 y MG-4. www.cse-cst.gc.ca/publications/gov-pubs/itsg/itsg-f.html Guas en francs de evaluacin de riesgos de sistemas de informacin del "Canadian Government Communications Security Establishment". Documentos ITSG-04, MG-2, MG-3 y MG-4.
www.rcmp-grc.gc.ca/tsb/pubs/it_sec/g2-001_e.pdf Gua en ingls de evaluacin de riesgos de la Polica de Canad. www.rcmp-grc.gc.ca/tsb/pubs/it_sec/g2-001_f.pdf Gua en francs de evaluacin de riesgos de la Polica de Canad. www.theirm.org/... Estndar de gestin del riesgo de IRM, AIRMIC y ALARM (en espaol). www.microsoft.com/technet/security/guidance/complianceandpolicies/secrisk/de fault.mspx Security Risk Management Guide de Microsoft. www.palisade-europe.com/risk/es @RISK, de Palisade, es un software general de anlisis de riesgos. Existe versin en espaol y tiene coste. www.riskworld.net COBRA (Consultative, Objective and Bi-functional Risk Analysis). Software no gratuito- de evaluacin del riesgo de "C&A Systems Security Ltd.". www.aexis.de/RA2ToolPage.htm RA2 art of risk. Software de anlisis de riesgos y soporte de SGSI. No es gratuito. www.njcu.edu/assoc/njcuitma/documents/addendums/... Ejemplo de anlisis de impacto en el negocio realizado por Gartner. www.sans.org/reading_room/whitepapers/auditing/1664.php Whitepaper de SANS de alineacin de gestin de riesgos con BS7799-3. www.sans.org/reading_room/whitepapers/auditing/1204.php Whitepaper de SANS sobre gestin del riesgo. metal.hacktimes.com/files/Analisis-y-Modelado-de-Amenazas.pdf Introduccin al anlisis y modelado de amenazas. www.asisonline.org/guidelines/guidelinesgsra.pdf Gua de evaluacin de riesgos de seguridad de ASIS. www.fdic.gov/news/news/financial/2004/FIL11404a.html Directrices para la gestin del riesgo por uso de aplicaciones de software libre. Herramientas para directivos y gerentes
www.dti.gov.uk/files/file9971.pdf Gua del aseguramiento del negocio del "Department of Trade and Industry" del Reino Unido. www.dti.gov.uk/files/file9972.pdf Gua de seguridad de la informacin para directivos del "Department of Trade and Industry" del Reino Unido. www.dti.gov.uk/files/file9981.pdf Introduccin a la seguridad de la informacin para directivos del "Department of Trade and Industry" del Reino Unido. www.dti.gov.uk/files/file9977.pdf Introduccin a las principales amenazas de seguridad de la informacin para directivos de Pymes del "Department of Trade and Industry" del Reino Unido. www.dti.gov.uk/files/file9973.pdf Introduccin a la gestin del riesgo de "The International Underwriting Association" del Reino Unido. www.ssi.gouv.fr/es/confianza/tdbssi.html TDBSSI (Esquema Orientativo de la Seguridad de los Sistemas de Informacin). Herramienta de sntesis y de visualizacin para el seguimiento de las acciones vinculadas con la seguridad de la informacin, desarrollada por la "Direction Centrale de la Scurit des Systmes dInformation" francesa. Disponible en espaol. csrc.nist.gov/publications/nistpubs/800-100/NIST-SP-800-100.zip Gua de seguridad de la informacin para gerentes, del NIST (National Institute of Standards and Technology de EEUU). www.cert.org/governance Governing for Enterprise Security, iniciativa del CERT de EEUU. www.asisonline.org/guidelines/guidelineschief.pdf Gua del CSO (Chief Security Officer), publicada por ASIS. Herramientas de auto-evaluacin autoevaluacion.forosec.com/forosec Herramienta de auto-evaluacin online en espaol del estado de la seguridad informtica en una organizacin. ForoSec, basndose en controles de la ISO17799, presenta al usuario un cuestionario sobre procedimientos y tcnicas de seguridad de la informacin en su organizacin y, en funcin de las respuestas, ofrece un diagnstico de la situacin, una clasificacin en tres niveles segn el grado de conformidad con la norma y unas recomendaciones de actuacin para cada una de las cuestiones.
www.securityhealthcheck.dti.gov.uk Auto-evaluacin online del estado de la seguridad de la informacin en una organizacin, por el "Department of Trade and Industry" del Reino Unido. www.sans.org/score/ISO_17799checklist2.php Cuestionario de auto-evaluacin para la verificacin del estado de los controles de ISO 17799:2005 del SANS Institute en formatos PDF y WORD. www.snia.org/ssif/education/risk_assessment Auto-evaluacin online como mtodo de iniciacin en conceptos y mejores prcticas de seguridad de la informacin del Storage Security Industry Forum. www.educause.edu/ir/library/pdf/SEC0421.pdf Auto-evaluacin de seguridad de la informacin para Universidades. www.bitsinfo.org/downloads/Publications... Herramienta de BITs para la evaluacin del riesgo operacional de la seguridad de la informacin. csrc.nist.gov/publications/nistir/ir7358/NISTIR-7358.pdf Program Review for Information Security Management Assistance (PRISMA) del NIST de EEUU. Metodologa de revisin del nivel de madurez de un plan de seguridad de la informacin. www.csoonline.com/read/030104/workdanger_a.html Auto-evaluacin online que ayuda a evaluar el cumplimiento de escritorio despejado en una organizacin. Necesita de Flash Player 6. www.interpol.int/Public/TechnologyCrime/CrimePrev/companyChecklist.asp Checklist sobre seguridad de la informacin de la INTERPOL. Herramientas de implantacin de SGSI www.audisec.es Global SGSI es la herramienta de gestin de SGSIs de la consultora espaola Audisec. Cubre la evaluacin de riesgos y las distintas etapas del ciclo de vida de un SGSI. www.ecija.com/v1/images2005/SGSI.pdf cija SGSI es la herramienta de gestin de SGSIs de la consultora espaola cija. Cubre la evaluacin de riesgos y las distintas etapas del ciclo de vida de un SGSI. isms.axur.net Axur ISMS es una herramienta de gestin de un SGSI, incluyendo evaluacin de riesgos. Est disponible en ingls y, progresivamente, en otros idiomas.
www.gammassl.co.uk/topics/ics/Brocv07forPDF.pdf AWICMSM (Advanced Web-based Internal Control Management System Methodology), junto con la metodologa "Fast Track ISMS", es la herramienta comercial de implantacin de ISO 27001 de la consultora inglesa "Gamma Secure Systems Limited". www.callio.com "Callio Secura 17799" es una herramienta software comercial para desarrollar, implantar, administrar y certificar un SGSI segn las normas ISO 17799 / BS 7799 / UNE 71502. www.infogov.co.uk/... Proteus es un software comercial que cubre todas las fases de implantacin de un SGSI. Disponible en espaol. www.isms.jipdec.jp/doc/JIP-ISMS114-10E.pdf Gua de implantacin de un SGSI en una organizacin mdica. www.atsec.com/downloads/pdf/iso-27001/ISMS-Implementation-Guide-andExamples.pdf Gua de implantacin de un SGSI con consejos y ejemplos. www.gcio.nsw.gov.au/documents/Information%20Security%20Guideline%20V1. 1.pdf Gua de implantacin de un SGSI con consejos y recomendaciones del gobierno de Nueva Gales del Sur. www.is2me.org Metodologa en espaol de implantacin de seguridad de la informacin en PyMEs. csrc.nist.gov/publications/nistpubs/... Gua 800-53 de implantacin de controles de seguridad de la informacin del NIST (National Institute of Standards and Technology) de EEUU. checklists.nist.gov/repository/category.html NIST Security Configuration Checklists Repository: un conjunto de listas de comprobacin relativas a la seguridad en los ms diversos sistemas informticos. www.iso27001security.com/ISO_27000_implementation_guidance_v1_Spanish .rtf Versin en espaol de la gua de implantacin y de mtricas para cada objetivo de control de ISO 27002 publicada por el "ISO27k implementers forum". docs.google.com/View?docid=dgc8zfmj_6c3vp4w
Checklist de documentacin de un SGSI publicada por el "ISO27k implementers forum". www.iso.org/iso/iso_catalogue/... Documento ISO/TC 176/SC 2/N544R2(r) que expone el enfoque por procesos. Herramientas de implantacin de polticas www.ssi.gouv.fr/es/confianza/pssi.html La gua PSSI. Gua de redaccin de polticas de seguridad de la informacin de la "Direction Centrale de la Scurit des Systmes dInformation" francesa. Disponible en espaol. www.arcert.gov.ar/politica/modelo.htm Modelo de Poltica de Seguridad de la Informacin para la Administracin de Argentina, basado en la norma ISO/IRAM 17799 (norma ISO 17799 homologada por IRAM, Instituto Argentino de Normalizacin). www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_12A/gsp-psg_e.asp Poltica de Seguridad del Gobierno de Canad. En ingls. www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_12A/gsp-psg_f.asp Poltica de Seguridad del Gobierno de Canad. En francs. www.ccn.cni.es/series.html Los documentos CCN-STIC del Centro Criptolgico Nacional espaol incluyen normas, instrucciones, guas y recomendaciones para garantizar la seguridad de los Sistemas de las TIC en la Administracin. www.ucisa.ac.uk/ist Toolkit de la "Universities and Colleges Information Systems Association" del Reino Unido para la generacin de polticas de seguridad de la informacin basado en BS-7799:2002. www.sans.org/resources/policies Conjunto de plantillas de polticas de seguridad del SANS Institute. www.dti.gov.uk/files/file9985.pdf Gua de proteccin de activos de informacin del "Department of Trade and Industry" del Reino Unido. www.dti.gov.uk/files/file34331.pdf Gua de creacin de una poltica de seguridad del "Department of Trade and Industry" del Reino Unido. www.dti.gov.uk/files/file9955.pdf
Gua de tipos de polticas de seguridad de la informacin del "Department of Trade and Industry" del Reino Unido. www.cccure.org/Documents/Security_Policy/pol_guidefinal.pdf Gua de creacin de una poltica de seguridad. csrc.nist.gov/publications/nistpubs/index.html Guas sobre distintos aspectos tcnicos de la seguridad de la informacin del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar polticas. www.isaca.org/... Muchas de las directrices de ISACA para auditores de sistemas de informacin son tiles tambin como apoyo para redactar polticas de seguridad. www.noticebored.com/html/policy_manual.html Plantilla para manual de polticas de seguridad de la informacin basado en ISO 17799. No gratuito. www.sans.org/reading_room/whitepapers/policyissues/1331.php Gua de desarrollo de una poltica de seguridad de la informacin. www.senado.es/legis8/publicaciones/pdf/senado/bocg/I0041.PDF Normativa de uso de sistemas de informacin del Senado espaol. Herramientas de concienciacin y sensibilizacin www.criptored.upm.es/guiateoria/gt_m142r.htm "Concientizacin en seguridad de la informacin", una gua en espaol publicada por la Universidad de los Andes. [El trmino "concientizacin" se usa sobre todo en Hispanoamrica.] www.enisa.europa.eu/... Gua de ENISA en espaol para la confeccin de un plan de concienciacin en seguridad de la informacin. www.enisa.europa.eu/... Gua de ENISA en ingls sobre planes de concienciacin en seguridad y la medicin de su eficacia. www.cse-cst.gc.ca/tutorials/english/toc.htm Programa de formacin de introduccin a la seguridad de la informacin para tcnicos de TI en ingls del Gobierno de Canad. www.cse-cst.gc.ca/tutorials/french/toc.htm
Programa de formacin de introduccin a la seguridad de la informacin para tcnicos de TI en francs del Gobierno de Canad. www.infosecuritylab.com/downloads.php Software de formacin y concienciacin en seguridad de la informacin. No gratuito. www.noticebored.com/index.html Conjunto de herramientas y servicios de concienciacin. No gratuito. www.thesecurityawarenesscompany.com Conjunto de herramientas y servicios de concienciacin. No gratuito. www.ussecurityawareness.org Larga lista de enlaces a otras pginas relacionadas con concienciacin y seguridad de la informacin en general. www.educause.edu/content.asp?page_id=7103&bhcp=1 Videos de concienciacin sobre seguridad informtica. csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-50.pdf "Building an Information Technology Security Awareness and Training Program". Gua para generar un plan de concienciacin y formacin en seguridad de la informacin publicado por el NIST (National Institute of Standards and Technology) de EEUU. csrc.nist.gov/publications/nistpubs/800-16/800-16.pdf "Information Technology Security Training Requirements: A Performance-Based Model". Gua para un plan de formacin funciones y responsabilidades publicado por el NIST (National Standards and Technology) de EEUU. Va acompaado de AppendixA-D y Appendix_E.
Role- and basado en Institute of 2 anexos:
Improving_Security_from_the_Inside_Out_NSI NSI (National Security Institute) contribuye con este documento que trata la concienciacin interna en seguridad, que la direccin la compre, ir ms all de polticas, construccin de un comportamiento que se base en un modelo, entre otros. www.microsoft.com/technet/security/understanding/awareness.mspx Material y guas de concienciacin gratuitos en ingls de Microsoft (120 MB). www.iwar.org.uk/comsec/resources/sa-tools/ Conjunto de documentos de concienciacin en seguridad de la informacin. www.iwar.org.uk/comsec/resources/ia-awareness-posters/ Posters de sensibilizacin en seguridad de la informacin.
security.arizona.edu/presentations.html Conjunto de presentaciones en PowerPoint sobre concienciacin en seguridad de la informacin de la Universidad de Arizona. www.noticebored.com/html/7_steps.html 7 pasos para disear un plan de sensibilizacin en seguridad de la informacin. www.bitsinfo.org/downloads/Publications... BITs, consorcio sin nimo de lucro formado por CEOs, cuyos miembros pertenecen a 100 de las mayores instituciones de EEUU. Consideraciones clave para la seguridad de los datos en su almacenamiento y transporte. www.microsoft.com/downloads/... Gua de Microsoft de proteccin de la empresa frente a la ingeniera social. www.commonwealthfilms.com Venta de vdeos de concienciacin en seguridad de la informacin en ingls. www2.norwich.edu/mkabay/infosecmgmt/videos/index.htm Resmenes de videos de "Commonwealth Films" sobre concienciacin en seguridad de la informacin. www.rcmp-grc.gc.ca/tsb/pubs/phys_sec/g1-030_e.htm Gua en ingls de concienciacin en seguridad de la Polica de Canad. www.rcmp-grc.gc.ca/tsb/pubs/phys_sec/g1-030_f.htm Gua en francs de concienciacin en seguridad de la Polica de Canad. www.infosecwriters.com/text_resources/pdf/Improving_Security_from_the_Insid e_Out_NSI.pdf Documento con recomendaciones para un plan de concienciacin del National Security Institute de EEUU. www.securitycartoon.com Una vieta diaria orientada a la concienciacin de usuarios en seguridad de la informacin. Herramientas de auditora www.theiia.org/guidance/technology/gtag Global Technology Audit Guide (GTAG) del Institute of Internal Auditors. Una serie de guas para auditores de sistemas de informacin. www.ffiec.gov/ffiecinfobase/index.html
Guas de auditora de sistemas de informacin del Federal Financial Institutions Examination Council de EEUU. www.isaca.org/... Normas, directrices y procedimientos de ISACA para auditores de sistemas de informacin. www.sans.org/score/checklists/ISO_17799_2005.doc Checklist de auditora de los controles del Anexo A de ISO 27001. iase.disa.mil/stigs/checklist/index.html Checklists de seguridad de sistemas del Information Assurance Support Environment. www.iso.org/tc176/ISO9001AuditingPracticesGroup Guas de auditora en ingls del ISO 9001 Auditing Practices Group. www.inlac.org/documentos.html Traduccin al espaol de las guas de auditora en ingls del ISO 9001 Auditing Practices Group. Herramientas de continuidad de negocio www.bsi-global.com/... BS 25999-1: Estndar britnico de buenas prcticas de gestin de continuidad de negocio. www.bsi-global.com/... BS 25999-2: Estndar britnico certificable que indica los requisitos para un sistema de gestin de continuidad de negocio. www.thebci.org/gpgdownloadpage.htm Gua de buenas prcticas de gestin de continuidad de negocio de "The Business Continuity Institute". www.thebci.org/10Standards.pdf Buenas prcticas de gestin de continuidad de negocio de "The Business Continuity Institute". www.singaporestandardseshop.sg/product/... Estndar SS507:2004 de Singapur sobre continuidad de negocio y recuperacin de desastres. www.dti.gov.uk/files/file9952.pdf Introduccin a la gestin de continuidad de negocio del "Department of Trade and Industry" del Reino Unido.
csrc.nist.gov/publications/nistpubs/800-34/sp800-34.pdf Gua para planes de contingencia de sistemas TI. Publicada por el NIST (National Institute of Standards and Technology) de EEUU. www.drii.org/DRII/ProfessionalPractices/about_professional_detail.aspx Prcticas profesionales de continuidad de negocio del Disaster Recovery Institute International. www.tisn.gov.au/agd/... Gua de continuidad de negocio para Pymes del gobierno australiano. www.nfpa.org/assets/files/PDF/CodesStandards/1600-2007.pdf Estndar de gestin de desastres y planes de continuidad de negocio de la National Fire Protection Association de EEUU. www.ongei.gob.pe/seguridad/seguridad2_archivos/Lib5131/Libro.pdf Gua Prctica para el Desarrollo de Planes de Contingencia de Sistemas de Informacin del Gobierno de Per. www.ibhs.org/business_protection/ofb_toolkit.asp Gua prctica de continuidad de negocio para Pymes del Institute for Business & Home Safety de EEUU. www.asisonline.org/guidelines/guidelinesbc.pdf Gua de continuidad de negocio de ASIS. www.ffiec.gov/ffiecinfobase/booklets/bcp/bus_continuity_plan.pdf Gua de evaluacin de continuidad de negocio en instituciones financieras del FFIEC de EEUU. www.avalution.com/PDF/How_to_Deploy_BS_25999.pdf Gua de implantacin de BS 25999 publicada por Avalution Consulting y BSI Americas. www.redbooks.ibm.com/abstracts/sg246547.html?Open IBM System Storage Business Continuity: Part 1 Planning Guide. www.redbooks.ibm.com/abstracts/sg246548.html?Open IBM System Storage Business Continuity: Part 2 Solutions Guide. www.bis.org/publ/joint17.pdf Principios de alto nivel de continuidad de negocio del Basel Committee on Banking Supervision. www.sans.org/reading_room/whitepapers/recovery/1658.php Cmo realizar un Business Impact Analysis (BIA).
www.continuitycentral.com/feature0501.htm Checklist de continuidad de negocio para pequeas empresas www.office-shadow.com Office Shadow es un software comercial de planificacin de la gestin de continuidad de negocio. www.strohlsystems.com/Software/LDRPS/default.asp LDRPS es un software comercial de planificacin de la gestin de continuidad de negocio. www.businessprotection.com Business Protector Gateway: software comercial de planificacin de la gestin de continuidad de negocio. www.ebrp.net eBRP: software comercial de planificacin de la gestin de continuidad de negocio. www.contingenz.com IMCD: software comercial de planificacin de la gestin de continuidad de negocio. www.mcqsoft.com Software comercial de planificacin de la gestin de continuidad de negocio. www.coop-systems.com COOP: software comercial de planificacin de la gestin de continuidad de negocio. www.evergreen-data.com/mitigator.html Mitigator: software comercial de planificacin de la gestin de continuidad de negocio. www.drsbytamp.com TAMP: software comercial de planificacin de la gestin de continuidad de negocio. www.linusrevive.com Revive: software comercial de planificacin de la gestin de continuidad de negocio. www.cpa-ltd.com/products_rpwin.htm RecoveryPAC: software comercial de planificacin de la gestin de continuidad de negocio. www.cpacsweb.com/recpac.html
Software comercial en varias versiones de planificacin de la gestin de continuidad de negocio.
FAQs (Preguntas frecuentes): Norma ISO 27001 Qu es ISO? ISO (International Organization for Standardization) es una federacin internacional con sede en Ginebra (Suiza) de los institutos de normalizacin de 157 pases (uno por cada pas). Es una organizacin no gubernamental (sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los institutos de normalizacin nacionales es diferente en los distintos pases (pblico, privado). ISO desarrolla estndares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores) acerca de productos, tecnologas, mtodos de gestin, etc. Estos estndares, por naturaleza, son de aplicacin voluntaria, ya que el carcter no gubernamental de ISO no le da autoridad legal para forzar su implantacin. Slo en aquellos casos en los que un pas ha decidido adoptar un determinado estndar como parte de su legislacin, puede convertirse en obligatorio. ISO garantiza un marco de amplia aceptacin mundial a travs de los 3000 grupos tcnicos y 50.000 expertos que colaboran en el desarrollo de normas. Qu es un estndar? Es una publicacin que recoge el trabajo en comn de los comits de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores y que contiene las especificaciones tcnicas y mejores prcticas en la experiencia profesional con el objeto de ser utilizada como regulacin, gua o definicin para las necesidades demandadas por la sociedad y tecnologa. Los estndares ayudan a aumentar la fiabilidad y efectividad de materiales, productos, procesos o servicios que utilizan todas las partes interesadas (productores, vendedores, compradores, usuarios y reguladores). En principio, son de uso voluntario, aunque la legislacin reglamentaciones nacionales pueden hacer referencia a ellos. Qu es AENOR y cul es su relacin con ISO? AENOR es una entidad espaola de normalizacin y certificacin en todos los sectores industriales y de servicios. y las
En su vertiente de normalizacin, tiene encomendada esta tarea por la Administracin espaola y es el representante de Espaa en ISO. En su vertiente de certificacin, opera en el mercado como cualquier otra entidad privada de certificacin y no tiene concedida ninguna exclusividad. Qu es la norma ISO 27001? Es un estndar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin (SGSI). Se basa en un ciclo de vida PDCA (PlanDo-Check-Act; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestin (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.). Es un estndar certificable, es decir, cualquier organizacin que tenga implantado un SGSI segn este modelo puede solicitar una auditora externa por parte de una entidad acreditada y, tras superar con xito la misma, recibir la certificacin en ISO 27001. Cul es el origen de ISO 27001? Su origen est en la norma de BSI (British Standards Institution) BS7799-Parte 2, norma que fue publicada por primera vez en 1998 y ya era un estndar certificable desde entonces. Tras la adaptacin pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005. Puede consultar la historia de ISO 27001 en el archivo sonoro: http://www.iso27000.es/download/HistoriaISO27001.pps Qu tiene que ver ISO 27001 con ISO 27002 (anteriormente denominada 17799)? ISO 27002 es un conjunto de buenas prcticas en seguridad de la informacin. Contiene 133 controles aplicables (en relacin a la gestin de la continuidad de negocio, la gestin de incidentes de seguridad, control de accesos o regulacin de las actividades del personal interno o externo, entre otros muchos), que ayudarn a la organizacin a implantar medidas que reduzcan sus riesgos en cuanto a seguridad de la informacin. Su origen est en la norma de BSI (British Standards Institution) BS7799-Parte 1, que fue publicada por primera vez en 1995. No es certificable. ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 27002 para su posible aplicacin en el SGSI que implante cada organizacin (justificando, en el documento denominado Declaracin de Aplicabilidad, los motivos de exclusin de aquellos que finalmente no sean necesarios). ISO 27002 es para ISO 27001, por tanto, una relacin de controles necesarios para garantizar la seguridad de la informacin. A partir del 1 de Julio de 2007, ISO 17799:2005 pas a denominarse ISO 27002:2005, cambiando nicamente su nomenclatura. Puedo certificar mi empresa en ISO 27002?
ISO 27002 es un conjunto de buenas prcticas de seguridad de la informacin que describe 133 controles aplicables. No es certificable, al igual que su norma antecesora BS 7799-1, y la aplicacin total o parcial en cada organizacin se realiza de forma totalmente libre y sin necesidad de una supervisin regular externa. La norma que s es certificable es ISO 27001, como tambin lo fue su antecesora BS 7799-2. Qu es la serie ISO 27000? ISO ha reservado la serie de numeracin 27000 para las normas relacionadas con sistemas de gestin de seguridad de la informacin. En 2005 incluy en ella la primera de la serie (ISO 27001). En prximos aos est prevista la incorporacin de nuevas normas que supongan un apoyo para las organizaciones que implanten y certifiquen un SGSI segn ISO 27001. Entre otras, sern 27000 (trminos y definiciones), 27002 (objetivos de control y controles), 27003 (gua de implantacin de un SGSI), 27004 (mtricas y tcnicas de medida de la efectividad de un SGSI), 27005 (gua para la gestin del riesgo de seguridad de la informacin) y 27006 (proceso de acreditacin de entidades de certificacin y el registro de SGSIs). Por estar en continuo desarrollo y cambio, para estar al da, recomendamos la visita de nuestra seccin http://www.iso27000.es/iso27000.html. Qu aporta la ISO 27001 a la seguridad de la informacin de una empresa? Aplica una arquitectura de gestin de la seguridad que identifica y evala los riesgos que afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control y mejora continua. Ayuda a la empresa a gestionar de una forma eficaz la seguridad de la informacin, evitando las inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una evaluacin previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles desproporcionados y de un coste ms elevado del necesario, por el retraso en las medidas de seguridad en relacin a la dinmica de cambio interno de la propia organizacin y del entorno, por la falta de claridad en la asignacin de funciones y responsabilidades sobre los activos de informacin, por la ausencia de procedimientos que garanticen la respuesta puntual y adecuada ante incidencias o la propia continuidad del negocio, etc. ISO 27001 tiene que ver slo con la seguridad informtica de una empresa? La informacin crtica de una empresa est presente en los sistemas informticos, pero tambin en papel, en diferentes tipos de archivos y soportes, se transmite a terceros, se muestra en diversos formatos audiovisuales, se comparte en conversaciones telefnicas y reuniones y est presente en el propio conocimiento y experiencia de los trabajadores. ISO 27001 propone un marco de gestin de la seguridad de toda la informacin de la empresa.
La presencia masiva de sistemas informticos en el tratamiento de la informacin lleva a menudo a centrar la atencin slo en la informtica, dejando as expuesta informacin esencial para las actividades del negocio. La evaluacin de riesgos previa a la implantacin de controles debe partir de un anlisis de los impactos que podra suponer para la organizacin la prdida de la confidencialidad, la integridad o la disponibilidad de cualquier parte de su informacin. Esto es un estudio en trminos de negocio, independiente del soporte de la informacin. La aplicacin posterior de controles considera temas como los aspectos organizativos, la clasificacin de la informacin, la inclusin de la seguridad en las responsabilidades laborales, la formacin en seguridad de la informacin, la conformidad con los requisitos legales o la seguridad fsica, adems de controles propiamente tcnicos. Quin debe promover la implantacin de ISO 27001 en la empresa? La Direccin de la empresa debe liderar el proceso. Teniendo en cuenta que los riesgos que se intentan minimizar mediante un SGSI son, en primera instancia, riesgos para el negocio, es la Direccin quien debe tomar decisiones. Adems, la implantacin de ISO 27001 implicar cambios de mentalidad, de sensibilizacin, de procedimientos y tareas, etc., y la Direccin es la nica que puede introducirlos en la organizacin. Sin el apoyo decidido de la Direccin, segn la propia ISO 27001 indica, no es posible la implantacin ni la certificacin de la norma en la empresa. En qu trminos entiende mejor la Direccin la importancia de ISO 27001? La Direccin de la empresa conoce los riesgos del negocio, la tolerancia en su aceptacin y las obligaciones con sus clientes y accionistas mejor que nadie. Por tanto, los trminos en que debe entender la Direccin la importancia de ISO 27001 son los de los riesgos asumibles, la continuidad de negocio y los costes de no-seguridad. La Direccin no tiene por qu verse confrontada con tecnologas y descripcin de amenazas desde el punto de vista tcnico. Aporta un retorno de inversin la certificacin en ISO 27001 de la empresa? Como cualquier otro proyecto de la empresa, la certificacin requiere de una inversin de mayor o menor importancia en funcin de las prcticas actuales en seguridad. El retorno de la inversin es realmente efectivo en el tiempo, considerando, entre otras razones, que con ISO 27001: Se aprovecha el hecho comprobado de que el coste de la implementacin de controles apropiados de seguridad puede ser hasta 7 veces menor cuando se consideran al principio del diseo e implantacin de las soluciones de negocio.
Las inversiones en tecnologa se ajustan a unas necesidades y prioridades conocidas de un entorno controlado. Se evitan compras innecesarias y sobredimensionadas o la necesidad inesperada de productos. Muchos errores se evitan gracias a los controles adoptados; los que se detectan regularmente se solucionan con medidas de coste razonable y sin causar daos, y los que finalmente se producen se solucionan y controlan mediante procedimientos establecidos. Se asegura la continuidad de negocio en el tiempo mnimo requerido ante cualquier incidencia, por grave que sea. Se evita la fuga de informacin esencial a competidores y medios pblicos que pueda perjudicar el crecimiento, prdida de competitividad y reputacin de la empresa en el mercado en el que participa. Es una buena herramienta para el aprovechamiento de nuevas oportunidades de negocio. Se demuestra a clientes, proveedores, inversores, al mercado y a la sociedad en general un alto nivel de concienciacin en la proteccin de la informacin y conformidad y cumplimento de la legalidad.
Qu tipo de empresas se estn certificando en ISO 27001? El estndar se puede adoptar por la mayora de los sectores comerciales, industriales y de servicios de pequeas, medianas o grandes entidades y organizaciones: finanzas, aseguradoras, telecomunicaciones, servicios pblicos, minoristas, sectores de manufactura, industrias de servicios diversos, sector del transporte y gobiernos entre otros. En la actualidad destaca su presencia en empresas dedicadas a servicios de tecnologas de la informacin, como prueba del compromiso con la seguridad de los datos de sus clientes. Qu es la norma UNE 71502? Es una norma espaola certificable de mbito local que surgi como versin adaptada de BS7799-2 y que tambin guarda relacin con UNE-ISO/IEC17799 mediante su Anexo A. Publicada en Febrero de 2004 y elaborada por el comit tcnico AEN/CTN 71 de la Tecnologa de la Informacin, especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI dentro del contexto de los riesgos identificados por la organizacin. Es mejor certificarse en ISO 27001 o en UNE 71502? Ambas evolucionan desde el mismo estndar certificable BS7799-2 y la diferencia fundamental radica en el mbito internacional de las normas ISO y el local -Espaa- de la UNE 71502. Probablemente, a corto-medio plazo, las empresas certificadas en UNE 71502 pasarn a estarlo en ISO 27001, como estndar nico e internacional de certificacin. Es ISO 27001 compatible con ISO 9001?
ISO 27001 ha sido redactada de forma anloga a otros estndares, como ISO 9001 (Calidad), ISO 14001 (Medio Ambiente) y OHSAS 18001 (prevencin de riesgos), con el objetivo, entre otros, de facilitar a las organizaciones la integracin de todos ellos en un solo sistema de gestin. La propia norma incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentacin necesaria para facilitar la integracin. Es recomendable integrar los diferentes sistemas, en la medida que sea posible y prctico. En el caso ideal, es posible llegar a un solo sistema de gestin y control de la actividad de la organizacin, que se puede auditar en cada momento desde la perspectiva de la seguridad de la informacin, la calidad, el medio ambiente o cualquier otra. Nuestra seccin de Artculos (http://www.iso27000.es/articulos.html) contiene referencias especficas y experiencias sobre este tema. Cmo se relaciona ISO 27001 con otros estndares de seguridad de la informacin? Ciertamente, existen otros estndares relacionados con seguridad de la informacin (COBIT, COSO, NIST, ITIL, TickIT, etc.), que la enfocan desde diferentes puntos de vista como a controles de seguridad, buen gobierno, gestin de servicios TI, seguridad de producto La organizacin debera considerar cul es la mejor opcin en relacin a sus necesidades. Quiero implantar ISO 27001, por dnde empiezo? Si est plantendose abordar ISO 27001 en su organizacin, puede empezar por: Recopilar informacin en pginas web como esta que est visitando y asistir a eventos informativos. Comprar las normas ISO 27001 e ISO 27002 en los sitios oficiales; p. ej., ISO (http://www.iso.org), AENOR (http://www.aenor.es) en Espaa, DGN (http://www.economia.gob.mx/index.jsp?P=85) en Mxico, ICONTEC (http://www.icontec.org.co) en Colombia, INN (http://www3.inn.cl) en Chile, IRAM (http://www.iram.com.ar/) en Argentina, etc. (lista completa en ISO). Realizar un curso de formacin, de los muchos que hay en el mercado, de introduccin a la norma, a su implantacin y su auditora. En nuestra seccin de Eventos podr encontrar algunos (http://www.iso27000.es/eventos.html). Hacer un "gap analysis" (anlisis diferencial) inicial de su estado actual con los controles de ISO 27002. Aunque no sea un anlisis exhaustivo, proporciona una idea aproximada de la distancia que le separa de la conformidad con la norma y el camino que habr que recorrer. En muchos casos, es necesario contratar los servicios de una empresa consultora especializada que le ayude algunas fases del proceso. Sin embargo, recuerde que las decisiones de negocio no deben ser trasladadas a nadie externo a la organizacin.
Deber pasar por todas las tareas propias de implantacin de un SGSI: definicin de poltica, determinacin del alcance, anlisis de riesgos, tratamiento de riesgos, etc. Las distintas secciones de nuestra web pueden aportarle puntual informacin. Paralelamente, formar y concienciar a todo el personal. En nuestra seccin de Herramientas (http://www.iso27000.es/herramientas.html) encontrar informaciones tiles sobre planes de sensibilizacin. Una vez implantado el sistema y en funcionamiento, deber recopilar evidencias al menos durante tres meses antes de pasar a la auditora de certificacin. Precisamente, son esas evidencias y registros histricos los que indican al auditor externo que el sistema de gestin funciona de manera adecuada. Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o varias entidades de certificacin acreditadas para pedir formalmente la visita de auditora (sus tarifas y oferta de servicios pueden diferir). Ofrecen, adicionalmente, un servicio aadido de pre-auditoria muy recomendable para afrontar con garantas una primera certificacin en la norma. En nuestra seccin de Certificacin (http://www.iso27000.es/certificacion.html) encontrar informaciones tiles.
SGSI Qu es un SGSI? Un SGSI es un Sistema de Gestin de la Seguridad de la Informacin. Esta gestin debe realizarse mediante un proceso sistemtico, documentado y conocido por toda la organizacin. Podra considerarse, por analoga con una norma tan conocida como la ISO 9000, como el sistema de calidad para la seguridad de la informacin. El propsito de un sistema de gestin de la seguridad de la informacin no es garantizar la seguridad que nunca podr ser absoluta- sino garantizar que los riesgos de la seguridad de la informacin son conocidos, asumidos, gestionados y minimizados por la organizacin de una forma documentada, sistemtica, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organizacin, los riesgos, el entorno y las tecnologas. Qu es un ISMS? Son las siglas en ingls (Information Security Management System) de SGSI (Sistema de Gestin de Seguridad de la Informacin). En qu ayudan los sistemas de gestin en general? Aseguran que una organizacin es dirigida de un modo eficiente y eficaz. Formalizan y sistematizan la gestin en procedimientos escritos, instrucciones, formularios y registros que aseguren la eficiencia de la organizacin y su mejora continua.
Qu informacin protege un SGSI? Los activos de informacin de una organizacin, independientemente del soporte que se encuentren; p. ej., correos electrnicos, informes, escritos relevantes, pginas web, imgenes, documentos, hojas de clculo, faxes, presentaciones, contratos, registros de clientes, informacin confidencial de trabajadores y colaboradores... Qu es exactamente la seguridad de la informacin? La seguridad de la informacin es la preservacin de la confidencialidad, integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento dentro de una organizacin. Estos tres factores se definen como: Confidencialidad: acceso a la informacin por parte nicamente de quienes estn autorizados. Integridad: mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Disponibilidad: acceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran.
Tengo un firewall, actualizo regularmente el antivirus y realizo copias de backup. Qu aporta un SGSI a mi empresa? Estas medidas no son ms que unos pocos controles tcnicos que, por s mismos, no significan que se est gestionando la seguridad. Un SGSI implica que la organizacin ha estudiado los riesgos a los que est sometida toda su informacin, ha evaluado qu nivel de riesgo asume, ha implantado controles (no slo tecnolgicos, sino tambin organizativos) para aquellos riesgos que superan dicho nivel, ha documentado las polticas y procedimientos relacionados y ha entrado en un proceso continuo de revisin y mejora de todo el sistema. El SGSI da as la garanta a la empresa de que los riesgos que afectan a su informacin son conocidos y gestionados. No se debe olvidar, por tanto, que no hay seguridad total sino seguridad gestionada. Existe algn producto que cubra los principales aspectos de seguridad de la informacin? No. Por influencia de la publicidad y las campaas de venta agresivas, es un error comn pensar que el nivel de seguridad depende exclusivamente del presupuesto dedicado a la compra de productos relacionados. La seguridad exige de un plan de gestin del riesgo continuado, polticas adecuadas a cada empresa y una seguridad establecida en base a mltiples y diferentes barreras. Siempre hay que recordar que la seguridad no es un producto sino un proceso. Si la seguridad total no existe, qu diferencia aporta un SGSI? Un SGSI es el modo ms eficaz de conseguir minimizar los riesgos, asegurar la continuidad adecuada de las actividades de negocio hasta en los casos ms
extremos y de adaptar la seguridad a los cambios continuos que se producen en la empresa y en su entorno. Aunque nunca logremos la seguridad total, nos acercamos a ella mediante una mejora continua. Es ms apropiado hablar en trminos de riesgo asumible en lugar de seguridad total, ya que no sera lgico que el gasto en seguridad sea mayor que los impactos potenciales de los riesgos que pretende evitar. En qu consiste la gestin del riesgo y el ciclo de vida PDCA? Mediante la gestin del riesgo se identifican, evalan y corrigen a niveles razonables y asumibles en coste todos los riesgos en seguridad que podran afectar a la informacin. PDCA son las siglas en ingls del conocido como ciclo de Deming: Plan-DoCheck-Act (Planificar-Hacer-Verificar-Actuar). En la fase PLAN se realiza la evaluacin de las amenazas, riesgos e impactos. En la fase DO, se seleccionan e implementan los controles que reduzcan el riesgo a los niveles considerados como aceptables y en CHECK y ACT se cierra y reinicia el ciclo de vida con la recogida de evidencias y readaptacin de los controles segn los nuevos niveles obtenidos y requeridos. Es un proceso cclico sin fin que permite la mejor adaptacin de la seguridad al cambio continuo que se produce en la empresa y su entorno. Certificacin Por qu dentro de la serie es certificable nicamente la 27001? Es la norma que define el modelo completo de gestin de seguridad de la informacin segn ciclo PDCA aunque, para algunos procesos, se apoya en otras normas relacionas no certificables, como ISO 27002. Quin certifica a mi empresa en ISO 27001? Una entidad de certificacin acreditada, mediante una auditora. Esta entidad establece el nmero de das y auditores necesarios, puede realizar una preauditora (no obligatoria) y lleva a cabo una auditora formal. Si el informe es favorable, la empresa recibir la certificacin. Para mayor detalle, consulte nuestra (http://www.iso27000.es/certificacion.html). seccin de Certificacin
En qu ayuda a las empresas la auditora de certificacin? Supone la oportunidad de recibir la confirmacin por parte de un experto ajeno a la empresa de que se est gestionando correctamente la seguridad de la informacin. Aade un factor de tensin y de concentracin en un objetivo a todos los miembros del proyecto y de la organizacin en general, lo que redunda en beneficio de la implantacin del sistema. Da una seal al mercado de que la empresa en cuestin es confiable y es gestionada transparentemente.
Es el requisito indispensable para acceder a la certificacin y poder utilizar el sello de certificacin junto al de la propia empresa. Por qu crece el nmero de empresas certificadas? El acta Sarbanes-Oxley en EEUU y la publicacin de directivas en el mbito EU y en cada estado miembro ha activado las alarmas en la direccin de las empresas. Adicionalmente a los requisitos legales establecidos para auditoras financieras, gestin de riesgos, financiacin, plan de desastres, continuidad de negocio, etc., crece el nmero de requisitos legales relacionados con la proteccin de los datos de carcter personal. ISO27001 ayuda a considerar y adoptar los controles necesarios en los procesos de negocio y tratamiento de la informacin para satisfacer las demandas de la empresa, legales y de los clientes en materia de seguridad de la informacin. Obliga mi certificacin a la de mis empresas de servicio externas (outsourcing)? No necesariamente. ISO27001 indica los controles a considerar para servicios de outsourcing desde el mbito de su empresa (requisitos contractuales, niveles de servicio, obligaciones legales, auditora, etc.). La seguridad de los sistemas de informacin que estn fuera del mbito es responsabilidad de la empresa externa, que debe cumplir regularmente con los compromisos contractuales exigidos por el cliente. Dnde puedo ver si una empresa est certificada? El registro oficial de organizaciones certificadas en ISO 27001 o BS 7799-2 a nivel mundial est en http://www.iso27001certificates.com. Quin acredita a las entidades certificadoras? Cada pas tiene una entidad de acreditacin (algunos, varias) que se encarga de supervisar que las entidades de certificacin (las que, finalmente, auditan y certifican los sistemas de gestin de las empresas) estn capacitadas para desempear su labor y se ajustan a los esquemas establecidos. En Espaa, es ENAC (Entidad Nacional de Acreditacin; http://www.enac.es) quien tiene esta misin. Tambin se da el caso de entidades certificadoras que expiden certificados bajo esquema de acreditacin de una entidad de acreditacin extranjera. En ISO 27001, se da frecuentemente el caso con UKAS (entidad nacional de acreditacin del Reino Unido), por el origen ingls de la norma y su corta vida an como ISO. Cmo es el proceso de certificacin? El proceso de certificacin puede resumirse en las siguientes fases: Solicitud por parte del interesado a la entidad de certificacin y toma de datos por parte de la misma.
Respuesta en forma de oferta por parte de la entidad certificadora. Compromiso. Designacin de auditores, determinacin de fechas y establecimiento conjunto del plan de auditora. Pre-auditora: opcionalmente, puede realizarse una auditora previa que aporte informacin sobre la situacin actual y oriente mejor sobre las posibilidades de superar la auditora real. Fase 1 de la auditora: revisin del alcance, poltica de seguridad, Direccin, anlisis de riesgos, declaracin de aplicabilidad y procedimientos clave. Fase 2 de la auditora: revisin de las polticas, auditora de la implantacin de los controles de seguridad y verificacin de la efectividad del sistema. Certificacin: acciones correctivas en caso de no conformidades graves, revisin y emisin de certificado en caso de informe favorable. Auditora de seguimiento: auditora semestral o anual de mantenimiento. Auditora de re-certificacin: cada tres aos, una auditora de certificacin formal completa.
Alguien puede obligarme a certificarme en ISO 27001? Como obligacin legal, a da de hoy, no. Sin embargo, como en toda relacin comercial, el cliente puede exigir a su proveedor ciertas condiciones previas para ser considerado siquiera como opcin de contratacin. Hay administraciones pblicas que estn empezando a exigir certificados de este tipo a las empresas que quieran acceder a concursos pblicos de productos o servicios relacionados con sistemas de informacin. Igualmente, es previsible que empresas privadas comiencen en algn momento a exigrselo a sus proveedores siempre que vaya a haber algn tipo actividad relacionada con informacin sensible. Lista de trminos relacionados con la serie ISO 27000 y la seguridad de la informacin, definidos en el contexto de las mismas. Se incluye la correspondencia en ingls de cada uno de los trminos. GLOSARIO A Accin correctiva (Ingls: Corrective action). Medida de tipo reactivo orientada a eliminar la causa de una no-conformidad asociada a la implementacin y operacin del SGSI con el fin de prevenir su repeticin. Accin preventiva
(Ingls: Preventive action). Medida de tipo pro-activo orientada a prevenir potenciales no-conformidades asociadas a la implementacin y operacin del SGSI. Accreditation body Vase: Aceptacin del Riesgo (Ingls: Risk acceptance). Segn [ISO/IEC Gua 73:2002]: Decisin de aceptar un riesgo. Activo (Ingls: Asset). En relacin con la seguridad de a cualquier informacin o sistema relacionado misma que tenga valor para la organizacin. 1:2004]: Cualquier cosa que tiene valor Alcance (Ingls: Scope). mbito de la organizacin que queda sometido al SGSI. Debe incluir la identificacin clara de las dependencias, interfaces y lmites con el entorno, sobre todo si slo incluye una parte de la organizacin. Alerta (Ingls: Alert). Una notificacin formal de que se ha producido un incidente relacionado con la seguridad de la informacin que puede evolucionar hasta convertirse en desastre. Amenaza (Ingls: Threat). Segn [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el dao a un sistema o la organizacin. Anlisis de riesgos (Ingls: Risk analysis). Segn [ISO/IEC Gua 73:2002]: Uso sistemtico de la informacin para identificar fuentes y estimar el riesgo. Anlisis de riesgos cualitativo
Entidad
de
acreditacin.
la informacin, se refiere con el tratamiento de la Segn [ISO/IEC 13335para la organizacin.
(Ingls: Qualitative risk analysis). Anlisis de riesgos en el que se usa una escala de puntuaciones para situar la gravedad del impacto. Anlisis de riesgos cuantitativo (Ingls: Quantitative risk analysis). Anlisis de riesgos en funcin de las prdidas financieras que causara el impacto. Asset Vase: Activo. Assets inventory Vase: Inventario de activos. Audit Vase: Auditora. Auditor (Ingls: Auditor). Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo que se ha realizado en un rea particular. Auditor de primera parte (Ingls: First party auditor). Auditor interno que audita la organizacin en nombre de ella misma. En general, se hace como mantenimiento del sistema de gestin y como preparacin a la auditora de certificacin. Auditor de segunda parte (Ingls: Second party auditor). Auditor de cliente, es decir, que audita una organizacin en nombre de un cliente de la misma. Por ejemplo, una empresa que audita a su proveedor de outsourcing. Auditor de tercera parte (Ingls: Third party auditor). Auditor independiente, es decir, que audita una organizacin como tercera parte independiente. Normalmente, porque la organizacin tiene la intencin de lograr la certificacin. Auditor jefe (Ingls: Lead auditor). Auditor responsable de asegurar la conduccin y realizacin eficiente y efectiva de la auditora, dentro del alcance y del plan de auditora aprobado por el cliente. Auditora
(Ingls: Audit). Proceso planificado y sistemtico en el cual un auditor obtiene evidencias objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una organizacin. Autenticacin (Ingls: Authentication). Proceso que tiene por objetivo asegurar la identificacin de una persona o sistema. Authentication Vase: Autenticacin. Availability Vase: Disponibilidad. B BS7799 Estndar britnico de seguridad de la informacin, publicado por primera vez en 1995. En 1998, fue publicada la segunda parte. La parte primera es un conjunto de buenas prcticas para la gestin de la seguridad de la informacin -no es certificable- y la parte segunda especifica el sistema de gestin de seguridad de la informacin -es certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la parte segunda de ISO 27001. Como tal estndar, ha sido derogado ya, por la aparicin de estos ltimos. BSI British Standards Institution. Comparable al AENOR espaol, es la Organizacin que ha publicado la serie de normas BS 7799, adems de otros varios miles de normas de muy diferentes mbitos. Business Continuity Plan Vase: Plan de continuidad del negocio. C Certification body Vase: Entidad de certificacin. CIA Acrnimo ingls de confidencialidad, integridad y disponibilidad, los parmetros bsicos de la seguridad de la informacin.
CID Acrnimo espaol de confidencialidad, integridad y disponibilidad, los parmetros bsicos de la seguridad de la informacin. CISA Certified Information Systems Auditor. Es una acreditacin ofrecida por ISACA. CISM Certified Information Systems Manager. Es una acreditacin ofrecida por ISACA. CISSP Certified Information Systems Security Professional. Es una acreditacin ofrecida por ISC2. CCEB Criterio Comn para la Seguridad de Tecnologa de Informacin. Checklist Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la auditora, sirve de evidencia del plan de auditora, asegura su continuidad y profundidad y reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas tambin se pueden utilizar durante la implantacin del SGSI para facilitar su desarrollo. Clear desk policy Vase: CobiT Control Objectives for Information and related Technology. Publicados y mantenidos por ISACA. Su misin es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnologa de Informacin rectores, actualizados, internacional y generalmente aceptados para ser empleados por gerentes de empresas y auditores. Compromiso de la Direccin
Poltica
de
escritorio
despejado.
(Ingls: Management commitment). Alineamiento firme de la Direccin de la organizacin con el establecimiento, implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del SGSI. Confidencialidad (Ingls: Confidenciality). Acceso a la informacin por parte nicamente de quienes estn autorizados. Segn [ISO/IEC 13335-1:2004]:" caracterstica/propiedad por la que la informacin no est disponible o revelada a individuos, entidades, o procesos no autorizados. Confidenciality Vase: Confidencialidad. Contramedida (Ingls: Countermeasure). Vase: Control. Control Las polticas, los procedimientos, las prcticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la informacin por debajo del nivel de riesgo asumido. (Nota: Control es tambin utilizado como sinnimo de salvaguarda o contramedida. Control correctivo (Ingls: Corrective control). Control que corrige un riesgo, error, omisin o acto deliberado antes de que produzca prdidas. Supone que la amenaza ya se ha materializado pero que se corrige. Control detectivo (Ingls: Detective control). Control que detecta la aparicin de un riesgo, error, omisin o acto deliberado. Supone que la amenaza ya se ha materializado, pero por s mismo no la corrige. Control disuasorio (Ingls: Deterrent control). Control que reduce la posibilidad de materializacin de una amenaza, p.ej., por medio de avisos disuasorios. Control preventivo (Ingls: Preventive control). Control que evita que se produzca un riesgo, error, omisin o acto deliberado. Impide que una amenaza llegue siquiera a materializarse. Control selection Vase: Seleccin de controles.
Corrective action Vase: Accin correctiva. Corrective control Vase: Control correctivo. COSO Committee of Sponsoring Organizations of the Treadway Commission. Comit de Organizaciones Patrocinadoras de la Comisin Treadway. Se centra en el control interno, especialmente el financiero. Countermeasure Contramedida. Vase: Control. D Declaracin de aplicabilidad (Ingls: Statement of Applicability; SOA). Documento que enumera los controles aplicados por el SGSI de la organizacin -tras el resultado de los procesos de evaluacin y tratamiento de riesgos- adems de la justificacin tanto de su seleccin como de la exclusin de controles incluidos en el anexo A de la norma. Desastre (Ingls: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios habituales de una organizacin durante el tiempo suficiente como para verse la misma afectada de manera significativa. Detective control Vase: Control detectivo. Deterrent control Vase: Control disuasorio. Directiva (Ingls: Guideline). Segn [ISO/IEC 13335-1:2004]: una descripcin que clarifica qu debera ser hecho y cmo, con el propsito de alcanzar los objetivos establecidos en las polticas. Disaster Vase: Desastre.
Disponibilidad (Ingls: Availability). Acceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Segn [ISO/IEC 13335-1:2004]: caracterstica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada. DRII Instituto Internacional de Recuperacin de Desastres. DTI Secretara de Industria y Comercio del Reino Unido. Edita muchas guas prcticas en el mbito de la seguridad de la informacin. E EDPAF Fundacin de Auditores del Procesamiento Electrnico de Datos (actualmente ISACF). ENAC Entidad Nacional de Acreditacin. Es el organismo espaol de acreditacin, auspiciado por la Administracin, que acredita organismos que realizan actividades de evaluacin de la conformidad, sea cual sea el sector en que desarrollen su actividad. Adems de laboratorios, entidades de inspeccin, etc., tambin acredita a las entidades de certificacin, que son las que a su vez certificarn a las empresas en las diversas normas. Entidad de acreditacin (Ingls: Accreditation body). Un organismo oficial que acredita a las entidades certificadoras como aptas para certificar segn diversas normas. Suele haber una por pas. Son ejemplos de entidades de acreditacin: ENAC (Espaa), UKAS (Reino Unido), EMA (Mxico), OAA (Argentina)... Entidad de certificacin (Ingls: Certification body). Una empresa u organismo acreditado por una entidad de acreditacin para auditar y certificar segn diversas normas (ISO 27000, ISO 9000, ISO 14000, etc.) a empresas usuarias de sistemas de gestin. ESF
Foro europeo de seguridad, en el que cooperan ms de 70 multinacionales fundamentalmente europeas con el objeto de llevar a cabo investigaciones relativas a los problema comunes de seguridad y control en TI. Evaluacin de riesgos (Ingls: Risk evaluation). Segn [ISO/IEC Gua 73:2002]: proceso de comparar el riesgo estimado contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo. Evento (Ingls: information security event). Segn [ISO/IEC TR 18044:2004]: Suceso identificado en un sistema, servicio o estado de la red que indica una posible brecha en la poltica de seguridad de la informacin o fallo de las salvaguardias, o una situacin anterior desconocida que podra ser relevante para la seguridad. Evidencia objetiva (Ingls: Objective evidence). Informacin, registro o declaracin de hechos, cualitativa o cuantitativa, verificable y basada en observacin, medida o test, sobre aspectos relacionados con la confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e implementacin de un elemento del sistema de seguridad de la informacin. F Fase 1 de la auditora Fase en la que, fundamentalmente a travs de la revisin de documentacin, se analiza en SGSI en el contexto de la poltica de seguridad de la organizacin, sus objetivos, el alcance, la evaluacin de riesgos, la declaracin de aplicabilidad y los documentos principales, estableciendo un marco para planificar la fase 2. Fase 2 de la auditora Fase en la que se comprueba que la organizacin se ajusta a sus propias polticas, objetivos y procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que est siendo efectivo. First party auditor Vase: Auditor de primera parte. G
Gestin de claves (Ingls: Key management). Controles referidos a la gestin de claves criptogrficas. Gestin de riesgos (Ingls: Risk management). Proceso de identificacin, control y minimizacin o eliminacin, a un coste aceptable, de los riesgos que afecten a la informacin de la organizacin. Incluye la valoracin de riesgos y el tratamiento de riesgos. Segn [ISO/IEC Gua 73:2002]: actividades coordinadas para dirigir y controlar una organizacin con respecto al riesgo. Guideline Vase: Directiva. H Humphreys, Ted Experto en seguridad de la informacin y gestin del riesgo, considerado "padre" de las normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002. I I4 Instituto Internacional para la Integridad de la Informacin, asociacin similar a la ESF, con metas anlogas y con sede principal en los EE.UU. Es manejado por el Instituto de Investigacin de Standford. IBAG Grupo asesor de empresas de Infosec, representantes de la industria que asesoran al Comit de Infosec. Este comit est integrado por funcionarios de los gobiernos de la Comunidad Europea y brinda su asesoramiento a la Comisin Europea en asuntos relativos a la seguridad de TI. IEC International Electrotechnical Commission. Organizacin internacional que publica estndares relacionados con todo tipo de tecnologas elctricas y electrnicas. IIA Instituto de Auditores Internos. Impacto
(Ingls: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o no ser medido en trminos estrictamente financieros -p.ej., prdida de reputacin, implicaciones legales, etc-. Impact Vase: Impacto. Incidente Segn [ISO/IEC TR 18044:2004]: Evento nico o serie de eventos de seguridad de la informacin inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la informacin. Information processing facilities Vase: Servicios de tratamiento de informacin. Information Systems Management System Vase: SGSI. Information security Vase: Seguridad de la informacin. INFOSEC Comit asesor en asuntos relativos a la seguridad de TI de la Comisin Europea. Integridad (Ingls: Integrity). Mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Segn [ISO/IEC 13335-1:2004]: propiedad/caracterstica de salvaguardar la exactitud y completitud de los activos. Integrity Vase: Integridad. Inventario de activos (Ingls: Assets inventory). Lista de todos aquellos recursos (fsicos, de informacin, software, documentos, servicios, personas, reputacin de la organizacin, etc.) dentro del alcance del SGSI, que tengan valor para la organizacin y necesiten por tanto ser protegidos de potenciales riesgos. IRCA
International Register of Certified Auditors. Acredita a los auditores de diversas normas, entre ellas ISO 27001. ISACA Information Systems Audit and Control Association. Publica CobiT y emite diversas acreditaciones en el mbito de la seguridad de la informacin. ISACF Fundacin de Auditora y Control de Sistemas de Informacin. ISC2 Information Systems Security Certification Consortium, Inc. Organizacin sin nimo de lucro que emite diversas acreditaciones en el mbito de la seguridad de la informacin. ISMS Information Systems Management System. Vase: SGSI. ISO Organizacin Internacional de Normalizacin, con sede en Ginebra (Suiza). Es una agrupacin de organizaciones nacionales de normalizacin cuyo objetivo es establecer, promocionar y gestionar estndares. ISO 17799 Cdigo de buenas prcticas en gestin de la seguridad de la informacin adoptado por ISO transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el 1 de Julio de 2007. No es certificable. ISO 19011 Guidelines for quality and/or environmental management systems auditing. Gua de utilidad para el desarrollo de las funciones de auditor interno para un SGSI. ISO 27001 Estndar para sistemas de gestin de la seguridad de la informacin adoptado por ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicacin en 2005 ISO 27002
Cdigo de buenas prcticas en gestin de la seguridad de la informacin (transcripcin de ISO 17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1 de Julio de 2007. ISO 9000 Normas de gestin y garanta de calidad definidas por la ISO. ISO/IEC TR 13335-3 Information technology . Guidelines for the management of IT Security .Techniques for the management of IT Security. Gua de utilidad en la aplicacin de metodologas de evaluacin del riesgo. ISO/IEC TR 18044 Information technology . Security techniques. Information security incident management Gua de utilidad para la gestin de incidentes de seguridad de la informacin. ISSA Information Systems Security Association. ISSAP Information Systems acreditacin de ISC2. ISSEP Information Systems acreditacin de ISC2. ISSMP Information Systems acreditacin de ISC2. ITIL IT Infrastructure Library. Un marco de gestin de los servicios de tecnologas de la informacin. ITSEC Criterios de evaluacin de la seguridad de la tecnologa de informacin. Se trata de criterios unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. Tambin cuentan con el respaldo de la Comisin Europea (vase tambin TCSEC, el equivalente de EEUU).
Security
Architecture
Professional.
Una
Security
Engineering
Professional.
Una
Security
Management
Professional.
Una
J JTC1 Joint Technical Committee. Comit tcnico conjunto de ISO e IEC especfico para las TI. K Key management Vase: Gestin de claves. L Lead auditor Vase: Auditor jefe. M Major nonconformity Vase: No conformidad grave. Management commitment Vase: Compromiso de la Direccin. N NBS Oficina Nacional de Normas de los EE.UU. NIST (ex NBS) Instituto Nacional de Normas y Tecnologa, con sede en Washington, D.C. No conformidad (Ingls: Nonconformity). Situacin aislada que, basada en evidencias objetivas, demuestra el incumplimiento de algn aspecto de un requerimiento de control que permita dudar de la adecuacin de las medidas para preservar la confidencialidad, integridad o disponibilidad de informacin sensible, o representa un riesgo menor. No conformidad grave (Ingls: Major nonconformity). Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que, basada en evidencias objetivas, permita dudar seriamente de la adecuacin de las medidas para
preservar la confidencialidad, integridad o disponibilidad de informacin sensible, o representa un riesgo inaceptable. Nonconformity Vase: No conformidad. O Objective evidence Vase: Evidencia objetiva. Objetivo (Ingls: Objetive). Declaracin del resultado o fin que se desea lograr mediante la implementacin de procedimientos de control en una actividad de TI determinada. OCDE Organizacin de Cooperacin y Desarrollo Econmico. Tiene publicadas unas guas para la seguridad de la informacin. P PDCA Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI). Plan de continuidad del negocio (Ingls: Bussines Continuity Plan). Plan orientado a permitir la continuacin de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en peligro. Plan de tratamiento de riesgos (Ingls: Risk treatment plan). Documento de gestin que define las acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la informacin inaceptables e implantar los controles necesarios para proteger la misma. Poltica de seguridad (Ingls: Security policy). Documento que establece el compromiso de la Direccin y el enfoque de la organizacin en la gestin de la seguridad de la informacin. Segn [ISO/IEC 27002:2005]: intencin y direccin general expresada formalmente por la Direccin.
Poltica de escritorio despejado (Ingls: Clear desk policy). La poltica de la empresa que indica a los empleados que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al finalizar el da. Preventive action Vase: Accin preventiva. Preventive control Vase: Control preventivo. Q Qualitative risk analysis Vase: Anlisis de riesgos cualitativo. Quantitative risk analysis Vase: Anlisis de riesgos cuantitativo. R Residual Risk Vase: Riesgo Residual. Riesgo (Ingls: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una prdida o dao en un activo de informacin. Segn [ISO Gua 73:2002]: combinacin de la probabilidad de un evento y sus consecuencias. Riesgo Residual (Ingls: Residual Risk). Segn [ISO/IEC Gua 73:2002] El riesgo que permanece tras el tratamiento del riesgo. Risk Vase: Riesgo. Risk acceptance Vase: Aceptacin del riesgo. Risk analysis
Vase: Anlisis de riesgos. Risk assessment Vase: Valoracin de riesgos. Risk evaluation Vase: Evaluacin de riesgos. Risk management Vase: Gestin de riesgos. Risk treatment Vase: Tratamiento de riesgos. Risk treatment plan Vase: Plan de tratamiento de riesgos. S Safeguard Salvaguardia. Vase: Control. Salvaguardia (Ingls: Safeguard). Vase: Control. Sarbanes-Oxley Ley de Reforma de la Contabilidad de Compaas Pblicas y Proteccin de los Inversores aplicada en EEUU desde 2002. Crea un consejo de supervisin independiente para supervisar a los auditores de compaas pblicas y le permite a este consejo establecer normas de contabilidad as como investigar y disciplinar a los contables. Tambin obliga a los responsables de las empresas a garantizar la seguridad de la informacin financiera. Scope Vase: Alcance. Second party auditor Vase: Auditor de segunda parte. Security Policy Vase: Poltica de seguridad.
Segregacin de tareas (Ingls: Segregation of duties). Reparto de tareas sensibles entre distintos empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por negligencia. Segregation of duties Vase: Segregacin de tareas. Seguridad de la informacin Segn [ISO/IEC 27002:2005]: Preservacin de la confidencialidad, integridad y disponibilidad de la informacin; adems, otras propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser tambin consideradas. Seleccin de controles Proceso de eleccin de los controles que aseguren la reduccin de los riesgos a un nivel aceptable. SGSI (Ingls: ISMS). Sistema de Gestin de la Seguridad de la Informacin. Segn [ISO/IEC 27001:2005]: la parte de un sistema global de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la informacin. (Nota: el sistema de gestin incluye una estructura de organizacin, polticas, planificacin de actividades, responsabilidades, procedimientos, procesos y recursos.) Servicios de tratamiento de informacin (Ingls: Information processing facilities). Segn [ISO/IEC 27002:2005]: cualquier sistema, servicio o infraestructura de tratamiento de informacin o ubicaciones fsicas utilizados para su alojamiento. Sistema de Gestin de la Seguridad de la Informacin (Ingls: Information Systems Management System). Ver SGSI. SOA Statement of Applicability. Vase: Declaracin de aplicabilidad. SSCP Systems Security Certified Practitioner. Una acreditacin de ISC2.
Statement of Applicability Vase: Declaracin de aplicabilidad. T TCSEC Criterios de evaluacin de la seguridad de los sistemas de computacin, conocidos tambin con el nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los EE.UU. Vase tambin ITSEC, el equivalente europeo. Third party auditor Vase: Auditor de tercera parte. Threat Vase: Amenaza. TickIT Gua para la Construccin y Certificacin del Sistema de Administracin de Calidad del Software. Tratamiento de riesgos (Ingls: Risk treatment). Segn [ISO/IEC Gua 73:2002]: Proceso de seleccin e implementacin de medidas para modificar el riesgo. U UNE 71502 Norma espaola de mbito local como versin adaptada de BS7799-2 (actual ISO 27001), que tambin guarda relacin con UNEISO/IEC17799 mediante su Anexo A. V Valoracin de riesgos (Ingls: Risk assessment). Segn [ISO/IEC Gua 73:2002]: Proceso completo de anlisis y evaluacin de riesgos. Vulnerabilidad (Ingls: Vulnerability). Debilidad en la seguridad de la informacin de una organizacin que potencialmente permite que una amenaza afecte a un activo. Segn [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.
Vulnerability Vase: Vulnerabilidad. W WG1, WG2, WG3, WG4, WG5 WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomit SC27 de JTC1 (Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los estndares relacionados con tcnicas de seguridad de la informacin. X
Fuente bibliogrfica: http://www.iso27000.es/ Consultado: 19 de Agosto de 2008

SGSI

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

SGSI

Cargado por

Copyright:

Formatos disponibles

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

Plan (planificar): establecer el SGSI. Do (hacer): implementar y utilizar el SGSI.

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

Arranque del proyecto

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

Aspectos Clave Fundamentales

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

EDSEL ENRIQUE URUEA LEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - SGSI