UNIVERSIDAD LAICA ELOY ALFARO DE MANABI

FACULTAD DE CIENCIAS INFORMTICAS

TEMA: SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN

INTEGRANTES:
CEDEO CEDEO ANDY ADRIN MUOZ MERO FELIPE ARTURO

CURSO: Quinto A Enero 04 del 2012

INTRODUCCIN

Toda entidad por grande o pequea que sea independientemente de la actividad a la que se dedique, maneja informacin vitan tan imprescindible que afecta directamente las operaciones de la empresa, en unas se tiene ms impacto que en otras variando de la dependencia que se tenga hacia ella.

Es por esto que podemos decir que la informacin forma parte de los bienes de una empresa y que tienen un gran valor para ella, por lo que mantenerlos seguros, accesibles e ntegros es de gran prioridad para realizar las actividades diarias en la operatividad de la entidad.

Es ah donde entra el Sistema de Gestin de Seguridad de la Informacin donde trata de evitar llegar a una situacin en la que se vea comprometida y se planean acciones al llegar a darse en algn momento para manejar estas situaciones de crisis de acuerdo a un plan prestablecido. El Sistema de Gestin de Seguridad de la Informacin se puede certificar bajo la norma ISO 27001 la cual verifica los procesos y planes de trabajo, los cuales son verificados por una entidad que est capacitada y autorizada para su revisin, correccin, aprobacin y mantenimiento del SGSI.

DEFINICION PROPIA
Actualmente, la mayor parte de la informacin reside en equipos informticos, redes de datos y soportes de almacenamiento, encuadrados todos dentro de lo que se conoce como sistemas de informacin. Estos sistemas de informacin estn sujetos a riesgos e inseguridades tanto desde dentro de la propia organizacin como desde fuera. A los riesgos fsicos (accesos no autorizados a la informacin, catstrofes naturales fuego, inundaciones, terremotos... , vandalismo, etc.) hay que sumarle los riesgos lgicos (virus, ataques de denegacin de servicio, etc.).

El Sistema de Gestin de la Seguridad de la Informacin (SGSI) en las empresas ayuda a establecer estas polticas, procedimientos y controles en relacin a los objetivos de negocio de la organizacin, con objeto de mantener siempre el riesgo por debajo del nivel asumible por la propia organizacin. Para los responsables de la entidad es una herramienta, alejada de tecnicismos, que les ofrece una visin global sobre el estado de sus sistemas de informacin, las medidas de seguridad que se estn aplicando y los resultados que se estn obteniendo de dicha aplicacin. Todos estos datos permiten a la direccin una toma de decisiones sobre la estrategia a seguir.

PALABRAS NUEVAS
SOGP.- Otro SGSI que compite en el mercado es el llamado "Information Security Forum's Standard of Good Practice" (SOGP). Este SGSI es ms una "best practice" (buenas prcticas), basado en las experiencias del ISF. ISM3.- Information Security Management Maturity Model ("ISM3") (conocida como ISM-cubed o ISM3) est construido en estndares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, e informacin general de conceptos de seguridad de los gobiernos ISM3 puede ser usado como plantilla para un ISO 9001 compliant. Mientras que la ISO/IEC 27001 est basada en controles. ISM3 est basada en proceso e incluye mtricas de proceso. COBIT.- En el caso de COBIT, los controles son an ms amplios que en la ISO-IEC 27001. La versin ms actual es la COBIT 5. ITIL.- Es un conjunto de conceptos y prcticas para la gestin de servicios de tecnologas de la informacin, el desarrollo de tecnologas de la informacin y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como gua que abarque toda infraestructura, desarrollo y operaciones de TI. ISO 9001.- Especfica los requisitos para un Sistema de Gestin de la Calidad (SGC) que pueden utilizarse para su aplicacin interna por las organizaciones, sin importar si el producto o servicio lo brinda una organizacin pblica o empresa privada, cualquiera sea su tamao, para su certificacin o con fines contractuales.

RESUMEN

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN

El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el concepto central sobre el que se construye ISO 27001. La gestin de la seguridad de la informacin debe realizarse mediante un proceso sistemtico, documentado y conocido por toda la organizacin. Este proceso es el que constituye un SGSI, que podra considerarse, por analoga con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la informacin. Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propsito de un sistema de gestin de la seguridad de la informacin es, por tanto, garantizar que los riesgos de la seguridad de la informacin sean conocidos, asumidos, gestionados y minimizados por la organizacin de una forma documentada, sistemtica, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologas.

QU ES UN SGSI?

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la Seguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls, siglas de Information Security Management System. En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma,

independientemente de la forma en que se guarde o transmita (escrita, en imgenes, oral, impresa en papel, almacenada electrnicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organizacin o de fuentes externas) o de la fecha de elaboracin.

La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de su confidencialidad, integridad y disponibilidad, as como de los sistemas implicados en su tratamiento, dentro de una organizacin. As pues, estos tres trminos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la informacin: Confidencialidad: la informacin no se pone a disposicin ni se revela a individuos, entidades o procesos no autorizados. Integridad: mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Disponibilidad: acceso y utilizacin de la informacin y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

Para garantizar que la seguridad de la informacin es gestionada correctamente, se debe hacer uso de un proceso sistemtico, documentado y conocido por toda la organizacin, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI. PARA QU SIRVE UN SGSI?

La informacin, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organizacin. La confidencialidad, integridad y disponibilidad de informacin sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organizacin y asegurar beneficios econmicos. Las organizaciones y sus sistemas de informacin estn expuestos a un nmero cada vez ms elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos crticos de informacin a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informticos, el hacking o los ataques de denegacin de servicio son algunos ejemplos comunes y conocidos, pero tambin se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organizacin o aquellos provocados accidentalmente por catstrofes naturales y fallos tcnicos. El cumplimiento de la legalidad, la adaptacin dinmica y puntual a las condiciones variables del entorno, la proteccin adecuada de los objetivos de negocio para asegurar el mximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestin de las organizaciones.

El nivel de seguridad alcanzado por medios tcnicos el limitado e insuficiente por s mismo. En la gestin efectiva de la seguridad debe tomar parte activa toda la organizacin, con la gerencia al frente, tomando en consideracin tambin a clientes y proveedores de bienes y servicios. El modelo de gestin de la seguridad debe contemplar unos procedimientos adecuados y la planificacin e implantacin de controles de seguridad basados en una evaluacin de riesgos y en una medicin de la eficacia de los mismos. En el Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a establecer estas polticas y procedimientos en relacin a los objetivos de negocio de la organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir. Con un SGSI, la organizacin conoce los riesgos a los que est sometida su informacin y los asume, minimiza, transfiere o controla mediante una sistemtica definida, documentada y conocida por todos, que se revisa y mejora constantemente. QU INCLUYE UN SGSI?

En el mbito de la gestin de la calidad segn ISO 9001, siempre se ha mostrado grficamente la documentacin del sistema como una pirmide de cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestin de la Seguridad de la Informacin basado en ISO 27001 de la siguiente forma:

Documentos De Nivel 1 Manual de Seguridad: Por analoga con el manual de calidad, aunque el trmino se usa tambin en otros mbitos. Sera el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, polticas y directrices principales, etc., del SGSI. Documentos De Nivel 2 Procedimientos: Documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificacin, operacin y control de los procesos de seguridad de la informacin. Documentos De Nivel 3 Instrucciones, checklists y formularios: Documentos que describen cmo se realizan as tareas y las actividades especficas relacionadas con la seguridad de la informacin. Documentos De Nivel 4 Registros: Documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; estn asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos. De manera especfica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio):

Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI, incluyendo una identificacin clara de las dependencias, relaciones y lmites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el mbito de influencia del SGSI considere un subconjunto de la organizacin como delegaciones, divisiones, areas, procesos, sistemas o tareas concretas).

Poltica y Objetivos de seguridad: Documentos de contenido genrico que establece el compromiso de la direccin y el enfoque de la organizacin en la gestin de la seguridad de la informacin.

Procedimientos y mecanismos de control que soportan al SGSI: Aquellos procedimientos que regulan el propio funcionamiento del SGSI.

Enfoque de evaluacin de riesgos: Descripcin de la metodologa a emplear (cmo se realizar la evaluacin de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relacin a los activos de informacin contendidos dentro del alcance seleccionado), desarrollo de criterios de aceptacin de riesgo y fijacin de niveles de riesgo aceptables.

Informe de evaluacin de riesgos: Documento que identifica las acciones de la direccin, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la informacin, en funcin de las conclusiones obtenidas de la evaluacin de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc.

Procedimientos documentados: Todos los necesarios para asegurar la planificacin, operacin y control de los procesos de seguridad de la informacin, as como para la medida de la eficacia de los controles implantados.

Registros: Documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI.

Declaracin de aplicabilidad: ( SOA Statement of Applicability-, en sus siglas inglesas); documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos, justificando inclusiones y exclusiones.

Control De La Documentacin Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento que defina las acciones de gestin necesarias para: Aprobar documentos apropiados antes de su emisin. Revisar y actualizar documentos cuando sea necesario y renovar su validez. Garantizar que los cambios y el estado actual de revisin de los documentos estn identificados. Garantizar que las versiones relevantes de documentos vigentes estn disponibles en los lugares de empleo. Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los procedimientos aplicables segn su clasificacin. Garantizar que los documentos procedentes del exterior estn identificados. Garantizar que la distribucin de documentos est controlada. Prevenir la utilizacin de documentos obsoletos. Aplicar la identificacin apropiada a documentos que son retenidos con algn propsito. CMO SE IMPLEMENTA UN SGSI? Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestin de la calidad.

Plan (planificar): Establecer el SGSI Do (Hacer): Implementar y utilizar el SGSI Check (Verificar): Monitorizar y revisar el SGSI. Act (Actuar): Mantener y mejorar el SGSI. PLAN: ESTABLECER EL SGSI Definir el alcance del SGSI en trminos del negocio, la organizacin, su localizacin, activos y tecnologas, incluyendo detalles y justificacin de cualquier exclusin. Definir una poltica de seguridad que: Incluya el marco general y los objetivos de seguridad de la informacin de la organizacin; Considere requerimientos legales o contractuales relativos a la seguridad de la informacin; Est alineada con el contexto estratgico de gestin de riesgos de la organizacin en el que se establecer y mantendr el SGSI; Establezca los criterios con los que se va a evaluar el riesgo; Est aprobada por la direccin.

Definir una metodologa de evaluacin del riesgo apropiada para el SGSI y los requerimientos del negocio, adems de establecer los criterios de aceptacin del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodologa es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologas estandarizadas para la evaluacin de riesgos, aunque es perfectamente aceptable definir una propia). Identificar los riesgos: Identificar los activos que estn dentro del alcance del SGSI y a sus responsables directos, denominados propietarios; Identificar las amenazas en relacin a los activos; Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas; Identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos. Analizar y evaluar los riesgos: Evaluar el impacto en el negocio de un fallo de seguridad que suponga la prdida de confidencialidad, integridad o disponibilidad de un activo de informacin; Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relacin a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estn implementados; Estimar los niveles de riesgo; Determinar, segn los criterios de aceptacin de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado. Identificar y evaluar las distintas opciones de tratamiento de los riesgos para: Aplicar controles adecuados; Aceptar el riesgo, siempre y cuando se siga cumpliendo con las polticas y criterios establecidos para la aceptacin de los riesgos; Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan;

Transferir el riesgo a terceros, p. ej., compaas aseguradoras o proveedores de outsourcing.

Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluacin del riesgo. Aprobar por parte de la direccin tanto los riesgos residuales como la implantacin y uso del SGSI. Definir una declaracin de aplicabilidad que incluya: Los objetivos de control y controles seleccionados y los motivos para su eleccin; Los objetivos de control y controles que actualmente ya estn implantados;

Los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusin; este es un mecanismo que permite, adems, detectar posibles omisiones involuntarias.

En relacin a los controles de seguridad, el estndar ISO 27002 (antigua ISO 17799) proporciona una completa gua de implantacin que contiene 133 controles, segn 39 objetivos de control agrupados en 11 dominios. Esta norma es referenciada en ISO 27001, en su segunda clusula, en trminos de documento indispensable para la aplicacin de este documento y deja abierta la posibilidad de incluir controles adicionales en el caso de que la gua no contemplase todas las necesidades particulares.

DO: IMPLEMENTAR Y UTILIZAR EL SGSI Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin. Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignacin de recursos,

responsabilidades y prioridades. Implementar los controles anteriormente seleccionados que lleven a los objetivos de control. Definir un sistema de mtricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles. Procurar programas de formacin y concienciacin en relacin a la seguridad de la informacin a todo el personal. Gestionar las operaciones del SGSI. Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la informacin. Implantar procedimientos y controles que permitan una rpida deteccin y respuesta a los incidentes de seguridad.

CHECK: MONITORIZAR Y REVISAR EL SGSI La organizacin deber: Ejecutar el proceso de monitorizacin y revisin para: o Detectar a tiempo los errores en los resultados generados por el procesamiento de la informacin; o Identificar brechas e incidentes de seguridad; o Ayudar a la direccin a determinar si las actividades desarrolladas por las personas y dispositivos tecnolgicos para garantizar la seguridad de la informacin se desarrollan en relacin a lo previsto; o Detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores; o Determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas. Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la poltica y objetivos del SGSI, los resultados de auditoras de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas. Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad. Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organizacin, la tecnologa, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc. Realizar peridicamente auditoras internas del SGSI en intervalos planificados. Revisar el SGSI por parte de la direccin peridicamente para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes.

Actualizar los planes de seguridad en funcin de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorizacin y revisin.

Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.

ACT: MANTENER Y MEJORAR EL SGSI La organizacin deber regularmente: Implantar en el SGSI las mejoras identificadas. Realizar las acciones preventivas y correctivas adecuadas en relacin a la clusula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones. Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder. Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.

PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Tngase en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber actividades de implantacin que ya se lleven a cabo cuando otras de planificacin an no han finalizado; o que se monitoricen controles que an no estn implantados en su totalidad.

QU TAREAS TIENE LA GERENCIA EN UN SGSI?

Uno de los componentes primordiales en la implantacin exitosa de un Sistema de Gestin de Seguridad de la Informacin es la implicacin de la direccin. No se trata de una expresin retrica, sino que debe asumirse desde un principio que un SGSI afecta fundamentalmente a la gestin del negocio y requiere, por tanto, de decisiones y acciones que slo puede tomar la gerencia de la organizacin. No se debe caer en el error de considerar un SGSI una mera cuestin tcnica o tecnolgica relegada a niveles

inferiores del organigrama; se estn gestionando riesgos e impactos de negocio que son responsabilidad y decisin de la direccin. El trmino Direccin debe contemplarse siempre desde el punto de vista del alcance del SGSI. Es decir, se refiere al nivel ms alto de gerencia de la parte de la organizacin afectada por el SGSI (recurdese que el alcance no tiene por qu ser toda la organizacin). Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la direccin se detallan en los siguientes puntos: Compromiso De La Direccin La direccin de la organizacin debe comprometerse con el establecimiento, implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del SGSI. Para ello, debe tomar las siguientes iniciativas: Establecer una poltica de seguridad de la informacin. Asegurarse de que se establecen objetivos y planes del SGSI. Establecer roles y responsabilidades de seguridad de la informacin. Comunicar a la organizacin tanto la importancia de lograr los objetivos de seguridad de la informacin y de cumplir con la poltica de seguridad, como sus responsabilidades legales y la necesidad de mejora continua. Asignar suficientes recursos al SGSI en todas sus fases. Decidir los criterios de aceptacin de riesgos y sus correspondientes niveles. Asegurar que se realizan auditoras internas. Realizar revisiones del SGSI, como se detalla ms adelante.

Asignacin De Recursos Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, es imprescindible la asignacin de recursos. Es responsabilidad de la direccin garantizar que se asignan los suficientes para: Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI.

Garantizar que los procedimientos de seguridad de la informacin apoyan los requerimientos de negocio.

Identificar y tratar todos los requerimientos legales y normativos, as como las obligaciones contractuales de seguridad.

Aplicar correctamente todos los controles implementados, manteniendo de esa forma la seguridad adecuada.

Realizar revisiones cuando sea necesario y actuar adecuadamente segn los resultados de las mismas.

Mejorar la eficacia del SGSI donde sea necesario.

Formacin Y Concienciacin La formacin y la concienciacin en seguridad de la informacin son elementos bsicos para el xito de un SGSI. Por ello, la direccin debe asegurar que todo el personal de la organizacin al que se le asignen responsabilidades definidas en el SGSI est suficientemente capacitado. Se deber: Determinar las competencias necesarias para el personal que realiza tareas en aplicacin del SGSI. Satisfacer dichas necesidades por medio de formacin o de otras acciones como, p. ej., contratacin de personal ya formado. Evaluar la eficacia de las acciones realizadas. Mantener registros de estudios, formacin, habilidades, experiencia y cualificacin. Adems, la direccin debe asegurar que todo el personal relevante est concienciado de la importancia de sus actividades de seguridad de la informacin y de cmo contribuye a la consecucin de los objetivos del SGSI. Revisin Del Sgsi A la direccin de la organizacin se le asigna tambin la tarea de, al menos una vez al ao, revisar el SGSI, para asegurar que contine siendo adecuado y eficaz. Para ello,

debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que se pueden enumerar: Resultados de auditoras y revisiones del SGSI. Observaciones de todas las partes interesadas. Tcnicas, productos o procedimientos que pudieran ser tiles para mejorar el rendimiento y eficacia del SGSI. Informacin sobre el estado de acciones preventivas y correctivas. Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos anteriores. Resultados de las mediciones de eficacia. Estado de las acciones iniciadas a raz de revisiones anteriores de la direccin. Cualquier cambio que pueda afectar al SGSI. Recomendaciones de mejora.

Basndose en todas estas informaciones, la direccin debe revisar el SGSI y tomar decisiones y acciones relativas a: Mejora de la eficacia del SGSI. Actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos. Modificacin de los procedimientos y controles que afecten a la seguridad de la informacin, en respuesta a cambios internos o externos en los requisitos de negocio, requerimientos de seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios de aceptacin de riesgos. Necesidades de recursos. Mejora de la forma de medir la efectividad de los controles.

SE INTEGRA UN SGSI CON OTROS SISTEMAS DE GESTIN? Un SGSI es, en primera instancia, un sistema de gestin, es decir, una herramienta de la que dispone la gerencia para dirigir y controlar un determinado mbito, en este caso, la seguridad de la informacin.

La gestin de las actividades de las organizaciones se realiza, cada vez con ms frecuencia, segn sistemas de gestin basados en estndares internacionales: se gestiona la calidad segn ISO 9001, el impacto medio-ambiental segn ISO 14001 o la prevencin de riesgos laborales segn OHSAS 18001. Ahora, se aade ISO 27001 como estndar de gestin de seguridad de la informacin. Las empresas tienen la posibilidad de implantar un nmero variable de estos sistemas de gestin para mejorar la organizacin y beneficios sin imponer una carga a la organizacin. El objetivo ltimo debera ser llegar a un nico sistema de gestin que contemple todos los aspectos necesarios para la organizacin, basndose en el ciclo PDCA de mejora continua comn a todos estos estndares. Las facilidades para la integracin de las normas ISO son evidentes mediante la consulta de sus anexos. ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre esta norma y la ISO 9001 e ISO 14001. Ah se observa la alta correlacin existente y se puede intuir la posibilidad de integrar el sistema de gestin de seguridad de la informacin en los sistemas de gestin existentes ya en la organizacin. Algunos puntos que suponen una novedad en ISO 27001 frente a otros estndares son la evaluacin de riesgos y el establecimiento de una declaracin de aplicabilidad (SOA), aunque ya se plantea incorporar stos al resto de normas en un futuro. Tambin existe la especificacin pblica PAS 99 como marco de referencia para una integracin de sistemas y es la primera especificacin de requisitos del mundo para sistemas de gestin integrada que se basa en los seis requisitos comunes de la gua ISO 72 (una norma para redactar normas para sistemas de gestin). Entre las diferentes normas que se pueden utilizar con PAS 99 (dos o varias) dentro de un sistema de gestin integrada tpico pueden incluirse ISO 9001 (Gestin de la calidad), ISO 14001 (Gestin medioambiental), OHSAS 18001 (Salud y seguridad en el trabajo), ISO/IEC 27001 (Seguridad de la informacin), ISO 22000 (Inocuidad de los alimentos seguridad alimentaria), ISO/IEC 20000 (Gestin de servicios de TI), entre

otros sistemas de gestin basados en un ciclo Deming "Plan-Do-Check-Act" de mejora continua.

ISO 27000 La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organizacin. Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la organizacin. ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International

Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea. En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin (SGSI) basado en ISO 27001. Origen Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards Institution, la organizacin britnica equivalente a AENOR en Espaa) es responsable de la publicacin de importantes normas como: BS 5750. Publicada en 1979. Origen de ISO 9001 BS 7750. Publicada en 1992. Origen de ISO 14001 BS 8800. Publicada en 1996. Origen de OHSAS 18001

La norma BS 7799 de BSI apareci por primera vez en 1995, con objeto de proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la seguridad de su informacin.

La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas, para la que no se estableca un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que estableci los requisitos de un sistema de seguridad de la informacin (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000. En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin. En 2005, con ms de 1700 empresas certificadas en BS 7799-2, esta norma se public por ISO, con algunos cambios, como estndar ISO 27001. Al tiempo se revis y actualiz ISO 17799. Esta ltima norma se renombr como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao de publicacin formal de la revisin.

En Marzo de 2006, posteriormente a la publicacin de ISO 27001:2005, BSI public la BS 7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin. Asimismo, ISO ha continuado, y contina an, desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretacin e implementacin de ISO/IEC 27001, que es la norma principal y nica certificable dentro de la serie. En la seccin de Artculos y Podcasts encontrar un archivo grfico y sonoro con la historia de ISO 27001 e ISO 17799. LA SERIE 27000 A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044. Las normas que incluye se enumeran a continuacin (toda la informacin disponible pblicamente sobre el desarrollo de las normas de la serie 27000 puede consultarse en las pginas web del subcomit JTC1/SC27: 1 y 2): ISO/IEC 27000

Publicada el 1 de Mayo de 2009. Esta norma proporciona una visin general de las normas que componen la serie 27000, una introduccin a los Sistemas de Gestin de Seguridad de la Informacin, una breve descripcin del ciclo Plan-Do-Check-Act y trminos y definiciones que se emplean en toda la serie 27000. En Espaa, esta norma no est traducida, pero s en Uruguay (UNIT-ISO/IEC 27000). El original en ingls y su traduccin al francs pueden descargarse gratuitamente de

standards.iso.org/ittf/PubliclyAvailableStandards. Est siendo revisada, con fecha prevista de segunda edicin Mayo de 2013. ISO/IEC 27001

Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya qued anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en

forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR (tambin en lengua gallega). En 2009, se public un documento adicional de modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISOIEC 27001), Venezuela (Fondonorma ISO/IEC 27001), Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001), Mxico (NMX-I-041/02-NYCE) o Uruguay (UNIT-ISO/IEC 27001). El original en ingls y la traduccin al francs pueden adquirirse en iso.org. Actualmente, este estndar se encuentra en periodo de revisin en el subcomit ISO SC27, con fecha prevista de publicacin de segunda edicin en Mayo de 2013. ISO/IEC 27002

Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 (a la venta en AENOR). Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002), Uruguay (UNIT-ISO/IEC 27002) o Per (como ISO 17799; descarga gratuita). El original en ingls y su traduccin al francs pueden adquirirse en iso.org. Actualmente, este estndar se encuentra en periodo de revisin en el subcomit ISO SC27, con fecha prevista de publicacin de la segunda edicin en Mayo de 2014.

ISO/IEC 27003

Publicada el 01 de Febrero de 2010. No certificable. Es una gua que se centra en los aspectos crticos necesarios para el diseo e implementacin con xito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificacin y diseo desde la concepcin hasta la puesta en marcha de planes de implementacin, as como el proceso de obtencin de aprobacin por la direccin para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. En Espaa, esta norma an no est traducida, pero s en Uruguay (UNIT-ISO/IEC 27003). ISO/IEC 27004

Publicada el 15 de Diciembre de 2009. No certificable. Es una gua para el desarrollo y utilizacin de mtricas y tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados segn ISO/IEC 27001. En Espaa, esta norma an no est traducida, sin embargo s lo est en Argentina (IRAM-ISO-IEC 27004) o Uruguay (UNIT-ISO/IEC 27004). ISO/IEC 27005

Publicada en segunda edicin el 1 de Junio de 2011 (primera edicin del 15 de Junio de 2008). No certificable. Proporciona directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. Su primera publicacin revis y retir las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000. El original en ingls puede adquirirse en iso.org. En Espaa, esta norma no est traducida, sin embargo, s lo est, para la versin de 2008, en pases como Mxico (NMX-I-041/05NYCE), Chile (NCh-ISO27005), Uruguay (UNIT-ISO/IEC 27005) o Colombia (NTC-ISO-IEC 27005).

ISO/IEC 27006

Publicada en segunda edicin el 1 de Diciembre de 2011 (primera edicin del 1 de Marzo de 2007). Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s misma. El original en ingls puede adquirirse en iso.org. En Espaa, esta norma no est traducida, sin embargo, s lo est, para la versin de 2007, en Mxico (NMX-I-041/06-NYCE) o Chile (NCh-ISO27001). ISO/IEC 27007

Publicada el 14 de Noviembre de 2011. No certificable. Es una gua de auditora de un SGSI, como complemento a lo especificado en ISO 19011. En Espaa, esta norma no est traducida. El original en ingls puede adquirirse en iso.org ISO/IEC 27008

Publicada el 15 de Octubre de 2011. No certificable. Es una gua de auditora de los controles seleccionados en el marco de implantacin de un SGSI. En Espaa, esta norma no est traducida. El original en ingls puede adquirirse en iso.org ISO/IEC 27010

En fase de desarrollo, con publicacin prevista en 2012. Es una norma en 2 partes, que consistir en una gua para la gestin de la seguridad de la informacin cuando se comparte entre organizaciones o sectores. ISO/IEC 27011

Publicada el 15 de Diciembre de 2008. Es una gua de interpretacin de la implementacin y gestin de la seguridad de la informacin en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Est publicada tambin como

norma ITU-T X.1051. En Espaa, no est traducida. El original en ingls puede adquirirse en iso.org. ISO/IEC 27013

En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de implementacin integrada de ISO/IEC 27001 (gestin de seguridad de la informacin) y de ISO/IEC 20000-1 (gestin de servicios TI). ISO/IEC 27014

En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de gobierno corporativo de la seguridad de la informacin. ISO/IEC 27015

En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de SGSI para organizaciones del sector financiero y de seguros. ISO/IEC TR 27016

En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de valoracin de los aspectos financieros de la seguridad de la informacin. ISO/IEC 27017

En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de seguridad para Cloud Computing. ISO/IEC 27031

Publicada el 01 de Marzo de 2011. No certificable. Es una gua de apoyo para la adecuacin de las tecnologas de informacin y comunicacin (TIC) de una organizacin para la continuidad del negocio. El documento toma como referencia el estndar BS 25777. En Espaa, esta norma no est traducida. El original en ingls puede adquirirse en iso.org ISO/IEC 27032

En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua relativa a la ciberseguridad. ISO/IEC 27033

Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 15 de Diciembre de 2009 y disponible en iso.org); 27033-2, directrices de diseo e implementacin de seguridad en redes (prevista para 2012); 27033-3, escenarios de referencia de redes (publicada el 3 de Diciembre de 2010 y disponible en iso.org); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad (prevista para 2012); 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2013); 27033-6, convergencia IP (prevista para 2013); 27033-7, redes inalmbricas (prevista para 2013). ISO/IEC 27034

Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informticas, consistente en 5 partes: 27034-1, conceptos generales (publicada el 21 de Noviembre de 2011 y disponible en iso.org); 27034-2, marco normativo de la organizacin (prevista para 2013); 27034-3, proceso de gestin de seguridad en aplicaciones (prevista para 2013); 27034-4, validacin de la seguridad en aplicaciones (prevista para 2013); 27034-5, estructura de datos de protocolos y controles de seguridad de aplicaciones (prevista para 2013). ISO/IEC 27035

Publicada el 17 de Agosto de 2011. Proporciona una gua sobre la gestin de incidentes de seguridad en la informacin. En Espaa, no est traducida. El original en ingls puede adquirirse en iso.org.

ISO/IEC 27036

En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visin general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC; 27036-4, seguridad en outsourcing (externalizacin de servicios). ISO/IEC 27037

En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de identificacin, recopilacin y custodia de evidencias digitales. ISO/IEC 27038

En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de especificacin para seguridad en la redaccin digital. ISO/IEC 27039

En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua para la seleccin, despliege y operativa de sistemas de deteccin y prevencin de intrusin (IDS/IPS). ISO/IEC 27040

En fase de desarrollo, con publicacin prevista en 2014. Consistir en una gua para la seguridad en medios de almacenamiento. ISO 27799

Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretacin y aplicacin en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la informacin sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. El original en ingls o francs puede adquirirse en iso.org. Desde el 20 de Enero de 2010, esta norma est publicada en Espaa como UNE-ISO/IEC 27799:2010 y puede adquirirse online en AENOR. Beneficios Establecimiento de una metodologa de gestin de la seguridad clara y estructurada.

Reduccin del riesgo de prdida, robo o corrupcin de informacin. Los clientes tienen acceso a la informacin a travs medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial.

Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar.

Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001, OHSAS 18001).

Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.

Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras.

Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.

Confianza y reglas claras para las personas de la organizacin. Reduccin de costes y mejora de los procesos y servicio. Aumento de la motivacin y satisfaccin del personal. Aumento de la seguridad en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas.

CONCLUSIONES

Se entendi el funcionamiento, estructura y aplicacin de los Sistemas de Gestin de la Seguridad de la Informacin como una herramienta viable.

Se investig qu es y para qu sirve un Sistema de Gestin de Seguridad de la Informacin.

Se identific la estructura de un Sistema de Gestin de Seguridad de la Informacin.

Se aprendi cmo implementar un SGSI dentro de una organizacin.

Se describi las tareas que tiene la Gerencia de una organizacin en un Sistema de Gestin de la Seguridad de la Informacin.

Se estudi los principales estndares utilizados en los SGSI.