Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestion de Riesgos Norma Iso
Gestion de Riesgos Norma Iso
Ttulo: Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes.
2. edicin
Autores: Luis Gmez Fernndez y Ana Andrs lvarez
Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.
Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695
comercial@aenor.es www.aenor.es
ndice
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
1.
2.
13
1.1.
Definicin de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
1.2.
14
1.3.
16
16
17
1.4.
17
17
18
1.5.
18
18
19
1.6.
Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
23
2.1.
23
2.2.
25
25
27
28
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
2.2.4.
2.2.5.
2.2.6.
2.2.7.
2.2.8.
2.2.9.
2.2.10.
2.2.11.
2.2.12.
2.2.13.
3.
28
29
30
31
31
32
32
33
33
34
2.3.
Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.2. Control de documentos . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.3. Control de registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
35
35
36
2.4.
Compromiso de la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
36
2.5.
37
2.6.
Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
2.7.
Auditoras internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
2.8.
39
40
40
2.9.
Mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.9.1. Accin correctiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.9.2. Accin preventiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
42
43
2.10. El anexo A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
44
45
3.1.
46
3.2.
Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
3.3.
Organizacin de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
3.4.
Gestin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
3.5.
50
3.6.
51
3.7.
53
ndice
3.8.
Control de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59
3.9.
64
67
68
3.12. Cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
70
73
4.1.
El proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
4.2.
75
4.3.
Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
76
4.4.
Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
4.5.
Anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
79
4.6.
Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
83
4.7.
86
4.8.
Procedimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
4.9.
Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
88
88
88
4.12. Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
5.
Proceso de certificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
91
6.
93
7.
97
4.
8.
101
101
101
103
104
104
8.2.
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
8.2.2.
8.2.3.
8.2.4.
8.3.
8.4.
8.5.
8.6.
123
123
123
123
123
124
124
8.7.
125
125
125
125
126
128
128
128
8.8.
131
131
132
132
132
132
134
134
134
ndice
9.
9.2.
9.3.
140
140
140
141
141
141
141
142
142
142
143
Otros requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.1. Comunicaciones electrnicas . . . . . . . . . . . . . . . . . . . . . . .
9.4.2. Auditora de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.3. Estado de seguridad de los sistemas . . . . . . . . . . . . . . . . . .
9.4.4. Respuesta a incidentes de seguridad . . . . . . . . . . . . . . . . . .
9.4.5. Normas de conformidad . . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.6. Actualizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.7. Categorizacin de los sistemas . . . . . . . . . . . . . . . . . . . . .
9.4.8. Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
145
145
146
146
146
147
147
147
148
9.4.
143
143
144
144
144
144
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
160
160
160
161
161
Introduccin
La informacin es el principal activo de muchas organizaciones y precisa ser protegida adecuadamente frente a amenazas que puedan poner en peligro la continuidad
del negocio.
En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan
cada vez ms con riesgos e inseguridades procedentes de una amplia variedad de
contingencias, las cuales pueden daar considerablemente tanto los sistemas de informacin como la informacin procesada y almacenada.
Ante estas circunstancias, las organizaciones han de establecer estrategias y controles adecuados que garanticen una gestin segura de los procesos del negocio, primando la proteccin de la informacin.
Para proteger la informacin de una manera coherente y eficaz es necesario implementar un Sistema de Gestin de Seguridad de la Informacin (SGSI). Este sistema es una parte del sistema global de gestin, basado en un anlisis de los riesgos
del negocio, que permite asegurar la informacin frente a la prdida de:
Confidencialidad: slo acceder a la informacin quien se encuentre autorizado.
Integridad: la informacin ser exacta y completa.
Disponibilidad: los usuarios autorizados tendrn acceso a la informacin
cuando lo requieran.
La seguridad total es inalcanzable, pero mediante el proceso de mejora continua
del sistema de seguridad se puede conseguir un nivel de seguridad altamente satisfactorio, que reduzca al mnimo los riesgos a los que se est expuesto y el impacto
que ocasionaran si efectivamente se produjeran.
12
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
UNE-ISO/IEC 27002 pueden llegar a ser muy difciles de valorar por un gestor
que no cuente con la informacin o la formacin adecuada, hecho que le impedira
decidir cabalmente sobre cul es su relevancia para la empresa y las consecuencias
de la implementacin o no de un determinado control en ella.
Esta gua pretende suplir semejantes carencias, proporcionando informacin detallada sobre el significado prctico de los requisitos de la norma y explicando con
ejemplos cmo se pueden realizar, teniendo siempre en cuenta la situacin inicial,
los requisitos de seguridad de la empresa y, por supuesto, los recursos disponibles,
ya que sin contar con esto ningn sistema de gestin se hallar bien diseado y, por
lo tanto, estar condenado al fracaso.
Para una mejor comprensin de las implicaciones de los diversos requisitos de la
norma, esta gua incluye un ejemplo prctico, basado en una empresa ficticia, con
la documentacin bsica que debe incluir un SGSI e indicaciones sobre la informacin que debe recoger cada documento.
Introduccin a los
Sistemas de Gestin
de Seguridad de la
Informacin (SGSI)
14
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
15
Act. Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuando las acciones preventivas y correctivas necesarias para rectificar los
fallos, detectados en las auditoras internas y revisiones del SGSI, o cualquier
otra informacin relevante para permitir la mejora permanente del SGSI.
La mejora continua es un proceso en s mismo. Debe entenderse como la mejora
progresiva de los niveles de eficiencia y eficacia de una organizacin en un proceso continuo de aprendizaje, tanto de sus actividades como de los resultados
propios.
Dado que la norma se encuentra enfocada hacia la mejora continua, es un esfuerzo
innecesario tratar de implementar un SGSI perfecto en un primer proyecto de este
tipo. El objetivo debera ser disear un SGSI que se ajuste lo ms posible a la realidad de la organizacin, que contemple las medidas de seguridad mnimas e imprescindibles para proteger la informacin y cumplir con la norma, pero que consuma
pocos recursos e introduzca el menor nmero de cambios posibles. De esta manera,
el SGSI se podr integrar de una forma no traumtica en la operativa habitual de la
organizacin, dotndola de herramientas con las que hasta entonces no contaba que
puedan demostrar su eficacia a corto plazo.
La aceptacin de este primer SGSI es un factor de xito fundamental. Permitir a
la organizacin ir mejorando su seguridad paulatinamente y con escaso esfuerzo.
Act
Plan
Check
Do
Implementar el SGSI
16
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
17
18
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
19
20
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Seguridad de la informacin
La preservacin de la confidencialidad, la integridad y la disponibilidad de la
informacin, pudiendo, adems, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.
[ISO/IEC 17799:2005]
Evento de seguridad de la informacin
La ocurrencia detectada en un estado de un sistema, servicio o red que indica
una posible violacin de la poltica de seguridad de la informacin, un fallo
de las salvaguardas o una situacin desconocida hasta el momento y que
puede ser relevante para la seguridad.
[ISO/IEC TR 18044:2004]
Incidente de seguridad de la informacin
Un nico evento o una serie de eventos de seguridad de la informacin, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones empresariales y de amenazar la seguridad de la informacin.
[ISO/IEC TR 18044:2004]
Sistema de Gestin de la Seguridad de la Informacin (SGSI) [Information
Security Management System, ISMS]
La parte del sistema de gestin general, basada en un enfoque de riesgo
empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la informacin.
Nota: el sistema de gestin incluye la estructura organizativa. las polticas, las actividades
de planificacin, las responsabilidades, las prcticas, los procedimientos, los procesos y
los recursos.
Integridad
La propiedad de salvaguardar la exactitud y completitud de los activos.
[ISO/IEC 13335-1:2004]
Riesgo residual
Riesgo remanente que existe despus de que se hayan tornado las medidas
de seguridad.
[ISO/IEC Guide 73:2002]
21
Declaracin de aplicabilidad
Declaracin documentada que describe los objetivos de control y los controles que son relevantes para el SGSI de la organizacin y aplicables al mismo.
Nota: los objetivos de control y los controles se basan en los resultados y conclusiones de
la evaluacin de riesgos y en los procesos de tratamiento del riesgo, en los requisitos legales o reglamentarios, en las obligaciones contractuales y en las necesidades empresariales
de la organizacin en materia de seguridad de la informacin.