Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Iso 27001 Tematica
Iso 27001 Tematica
Ttulo: Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes Autores: Ana Andrs y Luis Gmez
ISBN: 978-84-8143-602-0 Depsito Legal: M-15480-2009 Impreso en Espaa - Printed in Spain Edita: AENOR Maqueta y diseo de cubierta: AENOR Imprime: AENOR
Todos los derechos reservados. No se permite la reproduccin total o parcial de este libro, por cualquiera de los sistemas de difusin existentes, sin la autorizacin previa por escrito de AENOR.
Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.
Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695 comercial@aenor.es www.aenor.es
ndice
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Objeto de esta gua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Introduccin a los Sistemas de Gestin de Seguridad de la Informacin (SGSI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1. 1.2. 1.3. Definicin de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . El ciclo de mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.1. Origen de la norma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.2. Objeto y campo de aplicacin de la norma . . . . . . . . . . . . . La Norma ISO 27002 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.1. Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.2. Objeto y campo de aplicacin . . . . . . . . . . . . . . . . . . . . . . . Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9 11 13 13 14 15 15 16 17 17 17 18 21 21 23 23 25 26 26 27 28 29
1.4.
1.5.
2. Comprender la Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . . 2.1. 2.2. Requisitos generales del sistema de gestin de la seguridad . . . . . . . . Establecimiento y gestin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1. Establecimiento del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.2. Definicin del alcance del SGSI . . . . . . . . . . . . . . . . . . . . . . 2.2.3. Definicin de la poltica de seguridad . . . . . . . . . . . . . . . . . . 2.2.4. Identificacin de los activos de informacin . . . . . . . . . . . . . 2.2.5. Definicin del enfoque del anlisis de riesgos . . . . . . . . . . . . 2.2.6. Cmo escoger la metodologa del anlisis de riesgos . . . . . . 2.2.7. Tratamiento de los riesgos . . . . . . . . . . . . . . . . . . . . . . . . . .
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Seleccin de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Declaracin de aplicabilidad . . . . . . . . . . . . . . . . . . . . . . . . Implementacin y puesta en marcha del SGSI . . . . . . . . . . . . Control y revisin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . Mantenimiento y mejora del SGSI . . . . . . . . . . . . . . . . . . . .
29 30 30 30 31 32 32 32 33 33 34 35 35 36 37 37 38 39 39 40 41 43 44 45 45 47 48 49 51 57 62 65 66 68
Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.2. Control de documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.3. Control de registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Compromiso de la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de los recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Auditoras internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Revisin por la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.8.1. Entradas a la revisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.8.2. Salidas de la revisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.9.1. Accin correctiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.9.2. Accin preventiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.9.
2.10. El anexo A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Comprender la Norma ISO 27002 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1. 3.2. 3.3. 3.4. 3.5. 3.6. 3.7. 3.8. 3.9. Valoracin y tratamiento del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Organizacin de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de los activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Seguridad ligada a los recursos humanos . . . . . . . . . . . . . . . . . . . . . Seguridad fsica y ambiental . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de las comunicaciones y las operaciones . . . . . . . . . . . . . . . Control de accesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adquisicin, desarrollo y mantenimiento de los sistemas . . . . . . . . . . .
3.10. Gestin de las incidencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.11. Gestin de la continuidad del negocio . . . . . . . . . . . . . . . . . . . . . . . 3.12. Cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ndice
4. Definicin e implementacin de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . 4.1. 4.2. 4.3. 4.4. 4.5. 4.6. 4.7. 4.8. 4.9. El proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Documentacin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Plan de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Procedimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
71 71 73 74 75 77 81 84 84 86 86 86 87 89 91 95 99
4.10. Revisin por la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.11. Auditora interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.12. Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Proceso de certificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Relacin entre los apartados de la norma y la documentacin del sistema . . 7. Correspondencia entre las Normas UNE-EN ISO 9001:2000, UNE-EN ISO 14001:2004 y UNE-EN ISO 27001:2007 . . . . . . . . . . . . . . 8. Ejemplo prctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.1.
Documentacin de la Poltica de seguridad . . . . . . . . . . . . . . . . . . . . 99 8.1.1. Declaracin de la poltica de seguridad de la informacin . . . 99 8.1.2. Definicin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 8.1.3. Organizacin e infraestructura de seguridad . . . . . . . . . . . . . 101 8.1.4. Clasificacin de la informacin . . . . . . . . . . . . . . . . . . . . . . 102 8.1.5. Anlisis de riesgos de seguridad . . . . . . . . . . . . . . . . . . . . . . 102 Documentacin del Inventario de activos . . . . . . . . . . . . . . . . . . . . . . 8.2.1. Procesos de negocio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2.2. Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2.3. Relacin proceso de negocio-activos . . . . . . . . . . . . . . . . . . 8.2.4. Valoracin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 103 103 104 104
8.2.
8.3.
Documentacin del Anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . 105 8.3.1. Valoracin del riesgo por activos . . . . . . . . . . . . . . . . . . . . . 105 8.3.2. Tramitacin del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Documentacin de la Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . 108 8.4.1. Valoracin del riesgo por activos . . . . . . . . . . . . . . . . . . . . . 108
8.4.
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
8.5. 8.6.
Documentacin de la Declaracin de aplicabilidad . . . . . . . . . . . . . . 112 8.5.1. Controles aplicados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Documentacin del Plan de tratamiento del riesgo . . . . . . . . . . . . . . . 8.6.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6.4. Tareas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6.5. Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6.6. Objetivos e indicadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . Documentacin del Procedimiento de auditoras internas . . . . . . . . . . 8.7.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.4. Desarrollo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.5. Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . . 8.7.6. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.7. Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Documentacin del Procedimiento para las copias de seguridad . . . . . 8.8.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.4. Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.5. Procedimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.6. Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . . 8.8.7. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.8. Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 121 121 121 121 122 122 123 123 123 123 124 126 126 126 129 129 130 130 130 130 132 132 132
8.7.
8.8.
9. Bibliografa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Normas de referencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Links de inters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Norma UNE-ISO/IEC 27001:2007 Tecnologa de la informacin. Tcnicas de seguridad. Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Introduccin
La informacin es el principal activo de muchas organizaciones y precisa ser protegida adecuadamente frente a amenazas que puedan poner en peligro la continuidad del negocio. En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan cada vez ms con riesgos e inseguridades procedentes de una amplia variedad de contingencias, las cuales pueden daar considerablemente tanto los sistemas de informacin como la informacin procesada y almacenada. Ante estas circunstancias, las organizaciones han de establecer estrategias y controles adecuados que garanticen una gestin segura de los procesos del negocio, primando la proteccin de la informacin. Para proteger la informacin de una manera coherente y eficaz es necesario implementar un Sistema de Gestin de Seguridad de la Informacin (SGSI). Este sistema es una parte del sistema global de gestin, basado en un anlisis de los riesgos del negocio, que permite asegurar la informacin frente a la prdida de: Confidencialidad: slo acceder a la informacin quien se encuentre autorizado. Integridad: la informacin ser exacta y completa. Disponibilidad: los usuarios autorizados tendrn acceso a la informacin cuando lo requieran. La seguridad total es inalcanzable, pero mediante el proceso de mejora continua del sistema de seguridad se puede conseguir un nivel de seguridad altamente satisfactorio, que reduzca al mnimo los riesgos a los que se est expuesto y el impacto que ocasionaran si efectivamente se produjeran.
El objeto de esta gua es facilitar la comprensin de los diversos conceptos involucrados en un sistema de gestin normalizado y contemplar recomendaciones generales para la implementacin de un SGSI en una pyme. La aplicacin de la Norma UNE-ISO/IEC 27001 facilita la mejora en seguridad, pero puede resultar de difcil aplicacin para quien no se encuentre familiarizado con dichos conceptos. Esta gua no pretende ser preceptiva (existen infinidad de formas de implementar correctamente la norma), sino informativa, proporcionando explicaciones bsicas de los requisitos de la norma y orientando respecto a la manera en que se pueden cumplir esos requisitos. Generalmente, una primera aproximacin a la norma puede infundir desconfianza en cuanto a la capacidad de la empresa para poder llevar a cabo todos los requerimientos que expresa. Muchos trminos no se utilizan en la actividad cotidiana de una pyme, tales como riesgos, amenazas, vulnerabilidades. Adems, exige una serie de tareas desconocidas en la operativa habitual, tales como la realizacin de un anlisis de riesgos y la seleccin de controles. Para complicar ms las cosas, se hace referencia a la Norma PNE-ISO/IEC 27002, que especifica una amplia gama de controles de seguridad a implementar, en numerosos casos, con una gran carga de contenido tcnico. Los objetivos, controles e indicaciones contenidos en la Norma PNE-ISO/IEC 27002 pueden llegar a ser muy difciles de valorar por un gestor que no cuente con la informacin o la formacin adecuada, hecho que le impedira decidir cabalmente sobre cul es su relevancia para la empresa y las consecuencias de la implementacin o no de un determinado control en ella. Esta gua pretende suplir semejantes carencias, proporcionando informacin detallada sobre el significado prctico de los requisitos de la norma y explicando con ejemplos cmo se pueden realizar, teniendo siempre en cuenta la situacin inicial,
12
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
los requisitos de seguridad de la empresa y, por supuesto, los recursos disponibles, ya que sin contar con esto ningn sistema de gestin se hallar bien diseado y, por lo tanto, estar condenado al fracaso. Para una mejor comprensin de las implicaciones de los diversos requisitos de la norma, esta gua incluye un ejemplo prctico, basado en una empresa ficticia, con la documentacin bsica que debe incluir un SGSI e indicaciones sobre la informacin que debe recoger cada documento.
14
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
incidir en las diferencias fundamentales, a saber, que con un SGSI lo que tratamos es de gestionar la seguridad de la informacin de nuestra organizacin.
15
La mejora continua es un proceso en s mismo. Debe entenderse como la mejora progresiva de los niveles de eficiencia y eficacia de una organizacin en un proceso continuo de aprendizaje, tanto de sus actividades como de los resultados propios. Dado que la norma se encuentra enfocada hacia la mejora continua, es un esfuerzo innecesario tratar de implementar un SGSI perfecto en un primer proyecto de este tipo. El objetivo debera ser disear un SGSI que se ajuste lo ms posible a la realidad de la organizacin, que contemple las medidas de seguridad mnimas e imprescindibles para proteger la informacin y cumplir con la norma, pero que consuma pocos recursos e introduzca el menor nmero de cambios posibles. De esta manera, el SGSI se podr integrar de una forma no traumtica en la operativa habitual de la organizacin, dotndola de herramientas con las que hasta entonces no contaba que puedan demostrar su eficacia a corto plazo. La aceptacin de este primer SGSI es un factor de xito fundamental. Permitir a la organizacin ir mejorando su seguridad paulatinamente y con escaso esfuerzo.
Act
Plan
Check
Do
Implantar el SGSI
16
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
el desarrollo de las normas internacionales a travs de comits tcnicos establecidos por las organizaciones respectivas para realizar acuerdos en campos especficos de la actividad tcnica. Los comits tcnicos de ISO e IEC colaboran en los campos de inters mutuo. En el campo de la tecnologa de la informacin, ISO e IEC han establecido un comit tcnico conjunto, el denominado ISO/IEC JTC 1 (Joint Technical Committee 1). Los borradores de estas normas internacionales, adoptadas por la unin de este comit tcnico, son enviados a los organismos de las diferentes naciones para su votacin. La publicacin como norma internacional requiere la aprobacin de, por lo menos, el 75% de los organismos nacionales que emiten su voto. La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Instituto de Normas Britnico (como BS 7799), y adoptada bajo la supervisin del subcomit de tcnicos de seguridad del comit tcnico ISO/IEC JTC 1, en paralelo con su aprobacin por los organismos nacionales miembros de ISO e IEC. La Norma ISO/IEC 27001 es la nueva norma oficial. Tambin fue preparada por este JTC 1 y en el subcomit SC 27 Tcnicas de seguridad. La versin que se considerar en este texto es la primera edicin, de fecha 15 de octubre de 2005. Como se ha comentado anteriormente, este estndar internacional adopta tambin el modelo Plan-Do-Check-Act (PDCA), es decir, se basa en un ciclo de mejora continua que consiste en planificar, desarrollar, comprobar y actuar en consecuencia con lo que se haya detectado al efectuar las comprobaciones. De esta manera se conseguir ir refinando la gestin, hacindola ms eficaz y efectiva.
17
comercial, con una aplicacin diseada expresamente para la empresa, mediante reuniones, entrevistas, tablas o cualquier otro mtodo que se estime oportuno. Todos estos recursos servirn para cumplir la norma, siempre y cuando se observen los requisitos de objetividad del mtodo, los resultados sean repetibles y la metodologa se documente.
18
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
19
Sistema de Gestin de la Seguridad de la Informacin (SGSI) [Information Security Management System, ISMS] La parte del sistema de gestin general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la informacin.
Nota: el sistema de gestin incluye la estructura organizativa. las polticas, las actividades de planificacin, las responsabilidades, las prcticas, los procedimientos, los procesos y los recursos.
Integridad La propiedad de salvaguardar la exactitud y completitud de los activos. [ISO/IEC 13335-1:2004] Riesgo residual Riesgo remanente que existe despus de que se hayan tornado las medidas de seguridad. [ISO/IEC Guide 73:2002] Aceptacin del riesgo La decisin de aceptar un riesgo. [ISO/IEC Guide 73:2002] Anlisis de riesgos Utilizacin sistemtica de la informacin disponible para identificar peligros y estimar los riesgos. [ISO/IEC Guide 73:2002] Evaluacin de riesgos El proceso general de anlisis y estimacin de los riesgos. [ISO/IEC Guide 73:2002] Estimacin de riesgos El proceso de comparacin del riesgo estimado con los criterios de riesgo, para as determinar la importancia del riesgo. [ISO/IEC Guide 73:2002]
20
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Gestin de riesgos Actividades coordinadas para dirigir y controlar una organizacin con respecto a los riesgos. [ISO/IEC Guide 73:2002] Tratamiento de riesgos El proceso de seleccin e implementacin de las medidas encaminadas a modificar los riesgos. [ISO/IEC Guide 73:2002].
Nota: en esta norma internacional, el trmino control se utiliza como sinnimo de medida de seguridad.
Declaracin de aplicabilidad Declaracin documentada que describe los objetivos de control y los controles que son relevantes para el SGSI de la organizacin y aplicables al mismo.
Nota: los objetivos de control y los controles se basan en los resultados y conclusiones de la evaluacin de riesgos y en los procesos de tratamiento del riesgo, en los requisitos legales o reglamentarios, en las obligaciones contractuales y en las necesidades empresariales de la organizacin en materia de seguridad de la informacin.