ISO/IEC 27000: SISTEMAS DE GESTIN DE SEGURIDAD DE LA INFORMACIN

INTRODUCCIN La informacin es una parte importante para el xito y la continuidad en el mercado de cualquier empresa. La seguridad de esta informacin y de los sistemas que los procesan es un objetivo nmero uno de toda la empresa u organizacin. Para una excelente gestin de la seguridad de la informacin, es necesario implantar un sistema que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la empresa. Tener garantizado un nivel de proteccin total es virtualmente imposible, as que el objetivo de los sistemas de gestin de seguridad de la informacin es garantizar que los riesgos de la seguridad sean conocidos, asumidos, gestionados y minimizados por la organizacin. Por esta razn hablare en este apartado sobre la ISO/IEC 27000 que es un estndar desarrollado especficamente para la gestin de la seguridad de la informacin, la cual es utilizable en cualquier tipo de organizacin. Tambin presentar las distintas normas que componen la serie ISO 27000, as como sus caractersticas, atributos, niveles y como puede una organizacin implantar un sistema de gestin de seguridad de la informacin basado en la ISO 27001.

Imagen 1: ISO 27000. Tomado de: http://www.grupotreinar.com

La ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea (Balden Garzn, 2012). ISO (International Organization for Standardization) Organizacin Internacional para la Estandarizacin, es un organismo que promueve el desarrollo de normas voluntarias internacionales de fabricacin, comercio y comunicacin para todas las ramas industriales menos las del campo de la elctrica y la electrnica. Su sede principal se encuentra en la ciudad de Ginebra-Suiza y su objetivo principal es la de estandarizar normas, productos y seguridad para organizaciones y empresas de todo el mundo (Balden Garzn, 2012). IEC (International Electrotechical Commission) Comisin Electrnica Internacional, es una organizacin que se encarga de la normalizacin en el campo elctrico, electrnico y en todas las tecnologas que se encuentren relacionadas. Desde el ao 1906 IEC es la organizacin lder a nivel mundial que prepara y publica normas internacionales para todas las tecnologas elctricas, electrnicas y relacionadas con el fin de trabajar con seguridad en todos los niveles (Balden Garzn, 2012).

El origen de esta norma ISO 27000 se remonta desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards Institution) es responsable de importante normas como: 1979: Publicacin BS 5750 - ahora ISO 9001 1992: Publicacin BS 7750 - ahora ISO 14001 1996: Publicacin BS 8800 - ahora OHSAS 18001

La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la seguridad de su informacin. La primera parte de la norma (BS 7799-1) es una gua de buenas prcticas, para la que no se establece un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la informacin (SGSI) para ser certificable por una entidad independiente (ISO27000, 2013). Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000.

En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin. En 2005, con ms de 1700 empresas certificadas en BS7799-2, este esquema se public por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO 17799. Esta ltima norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao de publicacin formal de la revisin (ISO27000, 2013).

Imagen 2: Historia de ISO 27001. Tomado de: (ISO27000, 2013). En Marzo de 2006, posteriormente a la publicacin de la ISO27001:2005, BSI public la BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin. Tal como se menciona en (ATTAChile, 2013), esta ISO 27001:2005 duro bastante tiempo hasta que se vio necesario actualizarla as que la International Organization for Standardization ha publicado la ltima versin de la norma ISO 2700, la ISO 27000:2013. Entre las diferencias encontramos las siguientes: El cambio ms evidente en la nueva versin de la norma es el de su estructura la cual se adapta a todas las normas de gestin. Las partes interesadas cobran gran importancia en esta versin, ya que incluye a accionistas, clientes, autoridades, socios, etc. La norma posee un listado de posibles partes interesadas en una organizacin. Los conceptos documentos y registros pasan a llamarse informacin documentada, en esta nueva norma. La evaluacin de riesgos ya no se realizar a partir de los activos, las vulnerabilidades y las amenazas sino que estos slo se emplearn para establecer los riesgos consecuencia de la Integridad, la Confidencialidad y la Disponibilidad.

Con este cambio se logra aportar capacidad de decisin a la empresa a la hora de identificar los riesgos. En el informe de objetivos propuestos por la empresa, ahora, ser necesario especificar quin ser el responsable de comprobar que se realizan, el responsable de medirlos y adems con qu frecuencia lo hace. Tambin ser necesario especificar como se planea hacer posibles los objetivos. Las acciones preventivas tambin son objeto de cambio en la norma 27001, ya que la nueva versin no incluye acciones preventivas ya que estas pasarn a formar parte de la evaluacin del riesgo y el tratamiento. Por otro lado, las acciones correctivas se clasifican en dos tipos, las enfocadas a hallar solucin a no conformidades y las dedicadas a eliminar la causa que provoca no conformidades. En la nueva norma tambin ser necesario indicar toda la informacin relativa a la comunicacin, incluyendo los requisitos a comunicar, cuando, como y a quin se comunica etc..

La ISO 27000:2013 aporta mayor libertad a las empresas, las cuales podrn adaptar el Sistema de Gestin a sus necesidades, lo cual mal interpretado puede ser una excusa para que las empresas no se esfuercen y traten de cumplir el mnimo de requisitos. Tal y como se menciona en (ISO27000, 2013), los beneficios de esta norma ISO 27000 son muchas pero entre las ms importantes tenemos: Establecimiento de una metodologa de gestin de la seguridad clara y estructurada. Reduccin del riesgo de prdida, robo o corrupcin de informacin. Los clientes tienen acceso a la informacin a travs de medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial. Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar. Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001, OHSAS 18001). Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Confianza y reglas claras para las personas de la organizacin. Reduccin de costes y mejora de los procesos y servicios. Aumento de la motivacin y satisfaccin del personal. Aumento de la seguridad en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas.

La ISO 27000 es semejante a otras normas ISO, las cuales son realmente una serie de estndares. Como se menciona en (ISO27000, 2013), los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044 con 27799 finalizando la serie formalmente en estos nmeros. La serie de normas con ciertas caractersticas se indican a continuacin: ISO 27000: En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008. Contendr trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin. Esta norma est previsto que sea gratuita, a diferencia de las dems de la serie, que tendrn un coste. ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habindose establecido unas condiciones de transicin para aquellas empresas certificadas en esta ltima. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeracin de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. ISO 27003: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2009. Consistir en una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin.

ISO 27004: En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008. Especificar las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas mtricas se usan fundamentalmente para la medicin de los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA. ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. El conocimiento de los conceptos, modelos, procesos y trminos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intencin de gestionar los riesgos que puedan comprometer la organizacin de la seguridad de la informacin. Su publicacin revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000. ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s misma. ISO 27007: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2010. Consistir en una gua de auditora de un SGSI. ISO 27011: En fase de desarrollo; su fecha prevista de publicacin es finales de 2008. Consistir en una gua de gestin de seguridad de la informacin especfica para telecomunicaciones, elaborada conjuntamente con la ITU (Unin Internacional de Telecomunicaciones). ISO 27031: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2010. Consistir en una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones. ISO 27032: En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009. Consistir en una gua relativa a la ciberseguridad.

ISO 27033: En fase de desarrollo; su fecha prevista de publicacin es entre 2010 y 2011. Es una norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante Gateway, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e implementacin de seguridad en redes. Provendr de la revisin, ampliacin y remuneracin de ISO 18028. ISO 27034: En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009. Consistir en una gua de seguridad en aplicaciones. ISO 27799: Publicada el 12 de Junio de 2008. Es un estndar de gestin de seguridad de la informacin en el sector sanitario aplicando ISO 17799 ( actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretacin y aplicacin en la salud informtica de la norma ISO / IEC 27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prcticas para la gestin de la salud y la seguridad de la informacin por organizaciones sanitarias y otros custodios de la informacin sanitaria en base a garantizar un mnimo nivel necesario de seguridad apropiado para la organizacin y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de informacin personal de salud. ISO 27799:2008 se aplica a la informacin en salud en todos sus aspectos y en cualquiera de sus formas, toma la informacin (palabras y nmeros, grabaciones sonoras, dibujos, vdeos e imgenes mdicas), sea cual fuere el medio utilizado para almacenar (de impresin o de escritura en papel o electrnicos de almacenamiento) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informticas o por correo), ya que la informacin siempre debe estar adecuadamente protegida.

Tal y como se establece en (ISO27000, 2013), Algunos aspectos clave para que la empresa obtenga la certificacin en la ISO 27000 o la mantenga son: Compromiso y apoyo de la Direccin de la organizacin. Definicin clara de un alcance apropiado. Concienciacin y formacin del personal. Evaluacin de riesgos exhaustiva y adecuada a la organizacin. Compromiso de mejorar continuamente. Establecimiento de polticas y normas. Organizacin y comunicacin. Integracin del SGSI (Sistemas de Gestin de Seguridad en la Informacin) en la organizacin, como se muestra en la imagen 3.

Imagen 3: Modelo de procesos de una organizacin a la norma ISO 27000. Tomada de: (ISO27000, 2013)

La simbologa de las flechas de direccin es: Plan (planificar): establecer el SGSI. Do (hacer): implementar y utilizar el SGSI. Check (verificar): monitorizar y revisar el SGSI. Act (actuar): mantener y mejorar el SGSI.

Como se muestra en (ISO27000, 2013), al momento de aplicar esta norma repercuten varios beneficios entre estos estn: Establecimiento de una metodologa de gestin de la seguridad clara y estructurada. Reduccin del riesgo de prdida, robo o corrupcin de informacin. Los clientes tienen acceso a la informacin a travs medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial. Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar.

Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001, OHSAS 18001). Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Confianza y reglas claras para las personas de la organizacin. Reduccin de costes y mejora de los procesos y servicio. Aumento de la motivacin y satisfaccin del personal. Aumento de la seguridad en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas.

Tal y como se establece en (ISO27000, 2013), as como hay beneficios con esta ISO tambin pueden haber riesgos los cuales son: Exceso de tiempos de implantacin: con los consecuentes costes descontrolados, desmotivacin, alejamiento de los objetivos iniciales, etc. Temor ante el cambio: resistencia de las personas. Discrepancias en los comits de direccin. Delegacin de todas las responsabilidades en departamentos tcnicos. No asumir que la seguridad de la informacin es inherente a los procesos de negocio. Planes de formacin y concienciacin inadecuados. Calendario de revisiones que no se puedan cumplir. Definicin poco clara del alcance. Exceso de medidas tcnicas en detrimento de la formacin, concienciacin y medidas de tipo organizativo. Falta de comunicacin de los progresos al personal de la organizacin.

Por esta razn hay que tomar en cuenta estos consejos bsicos: Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de trabajo, un proceso de negocio clave, un nico centro de proceso de datos o un rea sensible concreta; una vez conseguido el xito y observados los beneficios, ampliar gradualmente el alcance en sucesivas fases. Comprender en detalle el proceso de implantacin: iniciarlo en base a cuestiones exclusivamente tcnicas es un error frecuente que rpidamente sobrecarga de problemas la implantacin; adquirir experiencia de otras implantaciones, asistir a cursos de formacin o contar con asesoramiento de consultores externos especializados. Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.

La autoridad y compromiso decidido de la Direccin de la empresa -incluso si al inicio el alcance se restringe a un alcance reducido- evitarn un muro de excusas para desarrollar las buenas prcticas, adems de ser uno de los puntos fundamentales de la norma. La certificacin como objetivo: aunque se puede alcanzar la conformidad con la norma sin certificarse, la certificacin por un tercero asegura un mejor enfoque, un objetivo ms claro y tangible y, por lo tanto, mejores opciones de alcanzar el xito. Eso s, la certificacin es la "guinda del pastel", no es bueno que sea la meta en s misma. El objetivo principal es la gestin de la seguridad de la informacin alineada con el negocio. No reinventar la rueda: apoyarse lo ms posible en estndares, mtodos y guas ya establecidos, as como en la experiencia de otras organizaciones. Servirse de lo ya implementado: otros sistemas de gestin (como ISO 9001 para la calidad o ISO 14001 para medio ambiente) ya implantados en la organizacin son tiles como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a responsables y auditores internos de otros sistemas de gestin. Reservar la dedicacin necesaria diaria o semanal: el personal involucrado en el proyecto debe ser capaz de trabajar con continuidad en el proyecto. Registrar evidencias: deben recogerse evidencias al menos tres meses antes del intento de certificacin para demostrar que el SGSI funciona adecuadamente. No precipitarse en conseguir la certificacin. Mantenimiento y mejora continua: tener en consideracin que el mantenimiento y la mejora del SGSI a lo largo de los aos posteriores requerirn tambin esfuerzo y recursos.

CURIOSIDADES Una de las curiosidades ms grandes sobre la ISO 27000 y que muchas personas no entienden, es porque de la serie de normas de la ISO 27000 solo es certificable la ISO 27001, y esto es debido a que es la norma que define el modelo completo de gestin de seguridad de la informacin segn el ciclo PDCA aunque, para algunos procesos, se apoya en otras normas relacionadas no certificadas, como la ISO 17799 (que pasara a ser ISO 27002 en 2007). Una organizacin de certificacin acredita, mediante una auditora. Esta entidad establece el nmero de das y auditores necesarios, puede realizar una pre-auditora (no obligatoria) y lleva a cabo una auditora formal. Si el informe es favorable, la empresa recibir la certificacin. El nmero de certificaciones ha aumentado considerablemente en los ltimos aos como demostracin de la relevancia que tiene la proteccin de la informacin para el desarrollo de las actividades de las organizaciones y para mantener y desarrollar el tejido industrial de los diferentes pases y en todo el mundo. Concluyendo que la ISO/IEC 27000 en general es muy importante para el crecimiento de una empresa, ya que al obtenerla se incluyen muchos beneficios que quizs en un principio no se notarn por los compromisos y reglas que la empresa tomar pero que dentro de un tiempo todo ese esfuerzo se convertir en xito para la organizacin.

Imagen 4: Evolucin de certificaciones ISO 27001 en Mxico. Tomada de: (ISO, 2013)

Imagen 5: Distribucin Mundial de certificaciones en ISO/IEC 27001 en 2012. Tomada de: (ISO, 2013)

BIBLIOGRFIA ATTAChile S.A. (2013). Nueva ISO 27000:2013. Cambios a tener en cuenta. Recuperado de http://www.atta.cl/index.php?option=com_content&view=article&id=144%3Anuevaiso-270002013-cambios-a-tener-encuenta&catid=4%3Acontenidoarticulos&Itemid=25 Balden Garzn, M. J. (2012). Plan Maestro de Seguridad Informtica para la UTIC de la Espe con Lineamientos de la Norma ISO/IEC 27002. (Tesis de maestra, Escuela Politcnica del Ejercito Vicerrectorado de Investigacin y Vinculacin con la Colectividad). Recuperado de http://repositorio.espe.edu.ec/handle/21000/6025 ISO27000, (2013). ISO 27000. (Documento PDF, www.iso27000.es). Recuperado de http://www.iso27000.es/download/doc_iso27000_all.pdf ISO27000, (2013). Sistema de Gestin de la Seguridad de la Informacin. (Documento PDF, www.iso27000.es). Recuperado de http://www.iso27000.es/download/doc_sgsi_all.pdf ISO 27000. (2013). Iso2700.es. Recuperado de http://www.iso27000.es/ ISO. (2013). ISO. Recuperado de http://www.iso.org/iso/home.htm