Sistema de gestin de seguridad de la informacin ISO/IEC 27001

En la sociedad moderna de la informacin y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a travs de sistemas de TI complejos y rpidos. La tecnologa de la informacin facilita muchos de los procesos, pero

tambin entraa riesgos. Por tanto, una proteccin integral de datos e informacin confidencial es especialmente importante. La fiabilidad y seguridad de la tecnologa de la informacin se convertir en el factor decisivo para el xito de una empresa.

ISO/IEC 27001
Sistema de Gestin de Seguridad de la Informacin

TV SD Iberia, S.L.U.

Por qu la norma ISO / IEC 27001?

La seguridad de la informacin es cada vez ms importante. As pues, la informacin es un factor decisivo para el xito de una empresa. Es, por tanto, de mxima prioridad, administrar y proteger la informacin. Los datos que se procesan electrnicamente especialmente se exponen a constantes amenazas y riesgos. Por consiguiente, aumentan las exigencias de seguridad como la disponibilidad, confidencialidad e integridad. Esto implica la proteccin de los sistemas de informacin y comunicacin frente a las ofensivas crecientes en la red, as como, por ejemplo, la prevencin de prdidas por robo y los daos causados por acciones externas, o la minimizacin de las consecuencias provocadas por el comportamiento negligente del ser humano. Para trabajar estos posibles factores que impiden la eficiencia, las medidas organizativas y tcnicas no son suficientes Un comportamiento consciente de todos los trabajadores sobre la seguridad de la informacin es un requisito previo para conseguir una proteccin integral de datos. La implementacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI) basado en la norma internacional ISO / IEC 27 001 apoya a las empresas en la identificacin sistemtica y el anlisis de riesgos, que surgen con el uso de la informacin, hasta la implementacin y el mantenimiento de mecanismos adecuados de vigilancia y control.

Qu se consigue con un Sistema de Gestin de Seguridad de la Informacin (SGSI)?

Un Sistema de Gestin de Seguridad de la Informacin es un proceso continuo, basado en el conocido modelo PDCA (Plan-Do-Check-Act). Este sistema apoya la aplicacin estructurada de todos los aspectos bsicos de seguridad. Gracias al mismo puede identificar y analizar sus posibles riesgos, identificar sus necesidades de actuacin y realizar las medidas necesarias, que se pueden supervisar y optimizar continuamente. De esta manera, siempre tiene a la vista los principales objetivos de seguridad.
El ciclo PDCA

PLAN (PLANIFICAR)

Proteja el conocimiento y, as, los valores de su empresa. Aproveche las excelentes ventajas de un SGSI segn la ISO / IEC 27001: Mejor comprensin de las exigencias del negocio Proteccin de la informacin ante las amenazas Fcil identificacin de las debilidades Disponibilidad continua de la informacin y as garantizar una continua actividad comercial Alto nivel de confianza con sus colaboradores Disminucin del riesgo de daar la imagen corporativa

ACT (ACTUAR)

DO (HACER)

CHECK (VERIFICAR)

Cules son los fundamentos de la Seguridad de la Informacin?

La norma ISO / IEC 27 001 considera como las tres principales caractersticas de la informacin: la disponibilidad, la confidencialidad y la integridad. Estas caractersticas son fundamentales en todos los requisitos externos que tiene que cumplir la empresa.
Disponibilidad de la informacin crtica para la empresa

Disponibilidad
Slo personas autorizadas pueden acceder a la informacin Fiabilidad y exhaustividad de la informacin crtica para la empresa

Informacin

Confidencialidad

Integridad

La informacin no slo debe cumplir con los requisitos formales, sino que tambin deben corresponder a distintas expectativas. Los principales aspectos son la credibilidad, la responsabilidad, la constancia y la confianza. Expectativas Requisitos
Disponibilidad Credibilidad

Informacin
Responsabilidad

Integridad

Datos TI
Confidencialidad

Constancia

Confianza

El Sistema de Gestin de Seguridad de la Informacin (SGSI) toma en consideracin todos los enfoques de la informacin y no se centra slo en su uso electrnico: La informacin es ms que simplemente almacenar y procesar La seguridad de la informacin no slo abarca la seguridad TI Seguridad significa confidencialidad, integridad y disponibilidad La gestin no es nicamente sistemas tcnicos y herramientas

Qu requiere la Seguridad de la Informacin?

El campo de la Seguridad de la Informacin incluye la tecnologa, que se preocupa por la seguridad de los sistemas TI y los datos almacenados en los mismos, as como la gestin de todos los procesos relacionados. Existe pues una reflexin esencial de conjunto; nicamente con la compra de firewalls y antivirus no es suficiente. Para garantizar una proteccin fiable se necesita ms bien una planificacin estructurada, as como un control de todas las medidas de seguridad.

Tecnologa
Sistemas, herramientas, estructura etc.

20 % 80 %

Gestin
Poltica y responsabilidad de la seguridad de la informacin, conocimiento y formacin, reporting, continuidad empresarial, procesos etc.

Qu contiene la ISO / IEC 27001?

La norma ISO / IEC 27001 consta de dos partes: el sistema de gestin y las medidas (controls) necesarias, que deben considerarse en cualquier caso. El siguiente grfico es un esquema del contenido de ambas partes.
Sistema de gestin basado en la ISO 9001

Resumen del contenido ISO/IEC 27001

Sistema de gestin
Ciclo PDCA Gestin y responsabilidad Documentacin Formacin

Determinacin de controles de seguridad por medio de:

Gestin de riesgos
Identificacin Valoracin

Revisin por parte de la direccin Implementacin de controles Auditoras internas

Definicin de valores

Los controles (controls) afectan a los siguientes aspectos: Seguridad fsica y del entorno Seguridad ligada a los RRHH Seguridad de comunicaciones y operaciones Control de accesos Seguridad en la fase de diseo y desarrollo Gestin de incidentes en la Seguridad de la Informacin Procedimientos de emergencia Cumplimiento

Cmo se implementa la ISO/IEC 27001

Las seis fases necesarias para la implementacin de un Sistema de Gestin de Seguridad de la Informacin conforme a la ISO/IEC 27001 son:
6 pasos para la implementacin

Paso 1

Definicin del alcance (scope) y los lmites de SGSI El mbito de aplicacin aclara y establece en qu campos aplica el Sistema de Gestin de Seguridad de la Informacin. Definicin de la poltica de la seguridad de la informacin Determinacin de la poltica de seguridad de la informacin para el mbito de aplicacin definido. Identificacin de los activos de la empresa (assets) y sus riesgos asociados. Dnde estn las debilidades? Qu amenazas tenemos que tener en cuenta?
Valorar las consecuencias Identificacin de las amenazas Identificacin de las debilidades Identificacin de activos y evaluacin

Paso 2

Paso 3

Listado de riesgos de la empresa

Paso 4

Control de riesgos Qu riesgos se corren? son asumibles?

Identificacin del riesgo
Niveles de rie sgo identificado

Grado de aceptacin del riesgo

Criterio 2 Criterio 1

Control necesario Fijacin de controles y objetivos de control.

Paso 5

Riesgo asumible

Paso 6

Definicin de la Declaracin de Aplicabilidad, la conocida SOA (Statement of Applicability), de la norma ISO/IEC 27001. Consiste en un resumen de las decisiones tomadas en relacin al tratamiento del riesgo.

Cules son los factores de xito?

Para conseguir una implementacin de su Sistema de Gestin de Seguridad de la Informacin con xito conforme a la ISO/IEC 27001, tiene que tomar en consideracin los siguientes factores:
La poltica de Seguridad de la Informacin, medidas y objetivos deben estar orientados a los objetivos de la empresa debe estar de acuerdo con la estructura de la empresa a todos los niveles de la organizacin

El modelo PDCA

Apoyo y aprobacin de la direccin Buena comprensin de la valoracin y gestin de riesgos Conocimiento de la poltica de Seguridad de la Informacin Preparacin de presupuestos para todas las actividades de Gestin de Seguridad de la Informacin Crear concienciacin de los problemas TI Configuracin de un proceso eficaz frente a incidentes de Seguridad de la Informacin Garanta de eficiencia y mejora del Sistema de Gestin de Seguridad de la Informacin

Formacin a todos los implicados

Formacin de directivos, empleados entre otros

Planificacin de costes de forma realista

Introducir conceptos TI en los planes de formacin Fijacin de requisitos claros

Elaboracin de un sistema de indicadores

Cmo se desarrolla la Certificacin?

El Proceso de Certificacin conforme a la ISO 27001 consta de dos fases. La Fase 1 de la auditora sirve principalmente para conocer su empresa y su importancia para la seguridad. En la Fase 2 se comprueba el cumplimiento de cada unos de los requisitos de la norma.

Fase I de la auditora

Fase I de la auditora: mbito de aplicacin y alcance Comprensin y documentacin Definicin del grado de preparacin para la certificacin (Fase II) Fase II de la auditora de certificacin Comprobacin de cumplimiento de los requisitos de la norma y su eficacia Visita a las instalaciones, verificacin in situ y elaboracin del informe Vigencia: Certificado para 3 aos Auditora anual

Fase II de la auditora inicial de certificacin

Auditora de mantenimiento

Auditora de mantenimiento

Auditora de renovacin

Entrega del Certificado y del Sello de Calidad de la Informacin una vez superada la Certificacin.

Un Certificado significa una visin de futuro

Anuncie su xito a sus empleados, proveedores, colaboradores y clientes. Haga publicidad de su empresa apoyndose en nuestra fuerte marca y mencione el valor aadido que le ofrece en su comunicacin empresarial tanto interna como externa. Por ejemplo, en el marco de campaas de marketing. Incluya nuestro Sello de Calidad de la Informacin en su pgina Web, folletos, prospectos y artculos de papelera de su empresa.

www.tuev-sued.es

Resumen
En el mundo empresarial el tratamiento especfico de la informacin adquiere cada vez un papel ms importante. Slo las personas autorizadas deben tener acceso siempre y en cualquier momento a la informacin disponible. Al mismo tiempo, tambin se tiene que tomar en consideracin los requisitos a exigir a las partes externas, como clientes y autoridades, para tener acceso a la informacin. Slo por medio de un procedimiento estructurado a travs de un Sistema de Gestin de la Seguridad de la Informacin se cumplen todas las exigencias que afectan a una organizacin. Si este SGSI tambin lo audita y certifica un especialista externo, se abren nuevas posibilidades de marketing y comunicacin gracias a nuestro sello de calidad de la informacin.

TV SD Iberia, S.L.U. C/Frederic Mompou, 4A, 1o 4a 08960 Sant Just Desvern (Barcelona) Espaa Tel: +34-93 490 22 20 Fax: +34 - 93 490 29 04 info@tuev-sued.es www.tuev-sued.es

Mayo 2012/13 ES