IMPLEMENTACION NTP ISO/IEC 27001

EN LOS DATA CENTERS

ndice

Captulo I

Conceptos de ISO 27001

ISO 27001 es una norma internacional emitida por la Organizacin Internacional
de Normalizacin (ISO) y describe cmo gestionar la seguridad de la informacin
en una empresa. La revisin ms reciente de esta norma fue publicada en 2013 y
hora su nombre completo es ISO/IEC 27001:2013. La primera versin se public
en 2005 y fue desarrollada en base a la norma britnica BS 7799-2.
ISO 27001 puede ser implementada en cualquier organizacin, con o sin fines de
lucro, privada o pblica, pequea o grande. Est redactada por los mejores
especialistas del mundo en el tema y proporciona una metodologa para
implementar la gestin de la seguridad de la informacin en una organizacin.
Tambin permite que una empresa sea certificada; esto significa que una entidad
de certificacin independiente confirma que la seguridad de la informacin ha sido
implementada en esa organizacin en cumplimiento con la norma ISO 27001.
ISO 27001 se ha convertido en a principal norma a nivel mundial para la seguridad
de la informacin y muchas empresas han certificado su cumplimiento; aqu se
puede ver la cantidad de certificado en los ltimos aos:

CANTIDAD DE CERTIFICADOS

25000

19577

Captulo II

20000

17355

Definicin de controles aplicables en15626

un Data Center, explicacin
12934
detallada

15000

10000

9246
7732

Captulo III
5000

Conclusiones del trabajo realizado

0
2007

2008

2009

2010

2011

2012

Fuente: Encuesta ISO sobre certificaciones de la norma para sistemas de gestin

Cmo funciona la ISO 27001?

El eje central de ISO 27001 es proteger la confidencialidad, integridad y
disponibilidad de la informacin en una empresa. Esto lo hace investigando
cuales son los potenciales problemas que podran afectar la informacin (es
decir, la evaluacin de riesgos) y luego definiendo lo que es necesario hacer
para evitar que estos problemas se produzcan (es decir, mitigacin o tratamiento
del riesgo).
Por lo tanto, la filosofa principal de la norma 27001 se basa en la gestin de
riesgos: investigar donde estn los riesgos y luego tratarlos sistemticamente.

ESTRUCTURA DE ISO 27001

Evaluacin y
tratamientos
de riesgo

Implementacion
de medidas de
seguridad

Las medidas de seguridad (o controles) que se van a implementar se presentan,

por lo general, bajo la forma de polticas, procedimientos e implementacin
tcnica (por ejemplo, software y equipos). Sin embargo, en la mayora de los
casos, las empresas ya tienen todo el hardware y software pero utilizan de una
forma no segura; por lo tanto, la mayor parte de la implementacin de ISO 27001
estar relacionada con determinar las reglas organizacionales (por ejemplo,
redaccin de documentos) necesarias para prevenir violaciones de la seguridad.

Como este tipo de implementacin demandar la gestin de mltiples polticas,

procedimientos, personas, bienes, etc., ISO 27001 ha detallado cmo
amalgamar todos estos elementos dentro del sistema de gestin de seguridad
de la informacin (SGSI).
Por eso, la gestin de la seguridad de la informacin no se acota solamente a la
seguridad de TI (por ejemplo, cortafuegos, anti-virus, etc.), sino que tambin
tiene que ver con la gestin de procesos, de los recursos humanos, con la
proteccin jurdica, la proteccin fsica, etc.

Consejos principales para la implantacin de la norma ISO 27001

Obtenga compromiso y apoyo de directivos con experiencia.
Haga que toda la empresa participe con una buena comunicacin interna.
Compare la Gestin de la Seguridad de la Informacin actual con los
requisitos de la norma ISO 27001.
Obtenga la opinin de clientes y proveedores sobre el sistema actual de
Gestin de Seguridad de la Informacin.
Establezca un equipo de implantacin para conseguir los mejores
resultados.
Asigne y comparta funciones, responsabilidades y plazos.
Adapte los principios bsicos de la norma ISO 27001 a su empresa.
Fomente la implicacin del personal con formacin e incentivos.
Comparta sus conocimientos de la norma ISO 27001 y anime al personal
a formarse como auditores internos.
Revise con regularidad su sistema ISO 27001 para asegurarse de que lo
contina mejorando.

Una gua sencilla para el camino en ISO 27001

ENTENDIMIENTO:

Recopilacin
de informacin

Calculo de los
beneficios

Comprender los
requisitos de su negocio
y de la norma de
certificacin.

Entender cmo proteger

la informacin
beneficiar a su negocio.

IMPLEMENTAR LA SOLUCION

Preparacin
de la
organizacin

Formar a su equipo,
asegurarse de que la
organizacin entiende los
principios y revisar la
prctica actual de negocios.

Elaboracin de
un plan de
implantacin a
medida
Comparar su actividad
con los requisitos de ISO
27001, y luego preparar
un informe de anlisis de
carencias.

OBTENER UN CERTIFICADO

Demostracin de
su funcionamiento

Ejecutar el
sistema

Revisar el sistema para

asegurarse de que
cumple con el requisito
de la norma.

Se llevar a cabo un
sistema de evaluacin
de documentacin y una
evaluacin de la eficacia
del sistema

HACER DE LA EXCELENCIA UN HBITO

En busca de
oportunidades para la
mejora continua

Celebrar y promover su
certificacin, a
continuacin, revisar los
sistemas y procesos

Captulo II

Definicin de controles aplicables en un Data Center

ENFOQUE DE PROCESOS
Esta Norma Tcnica Peruana promueve la adopcin de una enfoque del
proceso, implementar, operar, monitorear, mantener y mejorar la efectividad de
un ISSMS (Informacin Security Management System) en la organizacin.
Una organizacin debe identificar y administrar varias actividades con el fin de
funcionar efectivamente, Cualquier actividad que administre y use recursos para
lograr la transformacin de entradas en salidas, puede ser considerado un
proceso. Con frecuencia la salida de un proceso se convierte en la entrada del
proceso siguiente.
La aplicacin de un sistema de procesos dentro de una organizacin, junto con
la identificacin e interacciones de estos procesos y su administracin se define
como un enfoque de proceso.
El enfoque de proceso alienta a sus usuarios a enfatizar la importancia de:
a) Entender los requisitos de seguridad de informacin de negocios y la
necesidad de establecer polticas y objetivos para la seguridad de la
informacin.
b) Implementar y operar en el contexto de administrar el riesgo total del
negocio de una organizacin.
c) Monitorear y revisar el desempeo y efectividad del ISSMS
d) Mejoramiento continuo basado en la medicin de objetivos

El Modelo conocido como Planear-Hacer-Verificar-Actuar PDCA (Plan-DoCheck-Act), por sus siglas en ingls, puede aplicarse a todos los procesos ISMS.
La figura 1 ilustra como un ISMS toma como entrada los requisitos y
expectativas de seguridad de la informacin de las partes interesadas a travs
de las acciones y procesos necesarios genera productos de seguridad de la
informacin(es decir: gestin de la seguridad de la informacin) que cumple
estos requisitos y expectativas.
La adopcin de modelo PDCA tambin reflejara los principios como se
establecieron en las pautas de OECD (2002) para la gobernabilidad de los
sistemas y redes de la seguridad de informacin. Esta Norma Tcnica Peruana
provee un modelo para implementar los principios en las pautas que gobiernan
la evaluacin del riesgo, el diseo e implementacin de la seguridad, la gestin
de seguridad y reevaluacin.

EJEMPLO 1
Un requisito pudiera ser aquel que las brecas en la seguridad de la informacin
no causen serios daos financieros y/o daen la imagen de la organizacin.

EJEMPLO 2
Una expectativa podra ser que si ocurriera un incidente serio que afecte el
web site del negocio de una organizacin debe existir personal capacitado en
procedimientos adecuados para minimizar el impacto.

PLANEAR

Establecer el
ISMS

Partes
Interesadas

H
A
C
E
R

Requisito y
expectatias de
seguridad de
informacion

Planear (establecer el
ISMS)

Implementar
y Operar el
ISMS

Ciclo de
desarrollo,
mantenimiento
y mejora

Monitorear y
revisar el ISMS
VERIFICAR

A
C
Mantener y T
mejorar el U
A
ISMS
R

Partes
Interesadas

Gestion de la
Seguridad de la
Informacion

Establecer las polticas, objetivos, procesos y

procedimientos de seguridad relevantes para
administrar el riesgo y mejorar la seguridad de la
informacin para obtener resultados de acuerdo
con las polticas y objetivos de la organizacin

Hacer (implementar y
operar el ISMS)

Implementar y operar las polticas, controles,

procesos y procedimientos de seguridad.

Verificar (monitorear
y revisar el ISMS)

Monitorear y evaluar el funcionamiento de los

procesos con respecto a las polticas, objetivos y
experiencia prctica e seguridad, informando sobre
los resultados obtenidos a la gerencia para su
revisin.

Actuar (mantener
y mejorar el ISMS)

Tomar acciones correctivas y preventivas

basndose en los resultados de la revisin
gerencial para alcanzar la mejora continua del
ISMS.

Equipamiento informtico a instalar, presente y futuro

En esta etapa, debemos tener muy en claro cules sern los equipos que se
instalarn dentro del datacenter, entre servidores, storage, libreras de backup,
switches de core, etc. Es un error muy comn calcular el consumo elctrico
sumando directamente lo que marca el manual de cada equipo e indica el
fabricante, por lo general stas indicaciones corresponden a la mxima
configuracin y carga del equipo en sus picos de arranque y en situaciones de
extrema exigencia, si solo tomamos esto para dimensionar el consumo elctrico
seguramente sobredimensionemos la potencia. El paso correcto sera poder
medir el consumo elctrico directamente con una pinza amperomtrica en cada
rack u obtener este dato si tenemos instalados medidores de consumos en los
tableros o en las unidades de distribucin de energa individuales que permitan
obtener el consumo real. Para las proyecciones de los nuevos racks en donde
no tenemos claro que equipos instalaremos estamos en la actualidad calculando
un consumo entre 5Kw y 7Kw. Lo importante de este punto es armar un sistema
de energa que sea escalable y flexible, que si en poco tiempo instalamos un
rack en donde el consumo real est en 10Kw y nosotros previmos 7Kw,
rpidamente podamos adaptar la instalacin sin necesidad de costosas
modificaciones o desechando las obras que se hicieron en el pasado y haciendo
todo de nuevo.

Control del ambiente

Un entorno estandarizado y previsible es el eje de cualquier centro de datos que
refleje calidad. As, en un buen ambiente, no se trata nicamente de mantener
las cosas frescas y conservar los niveles de humedad adecuados. Tambin se
debe tener en cuenta la supresin de incendios, el flujo de aire o la distribucin
de energa. Por ejemplo, existen diferentes empresas que se toman tan en serio
estos detalles en su centro de datos que evitan colocar cajas de cartn en el
lugar. La teora para justificar dicha accin sera que las partculas de cartn
pueden ingresar a la corriente de aire y potencialmente contaminar los
servidores gracias al mecanismo de distribucin que trajo el aire fresco a la parte
frontal de los bastidores. Esto podra representar una accin extrema pero,
efectivamente, ilustra la importancia del concepto.

Seguridad
Mantener la seguridad fsica es una de las claves para un centro de datos
confiable. Conservar los sistemas bajo llave y proporcionar la entrada solo al
personal autorizado va de la mano con la idea de permitir el acceso a servidores,
aplicaciones, datos a travs de la red, etc., solo al mismo personal que tenga
autorizacin. Cabe recalcar que los activos ms valiosos de cualquier empresa
(adems de las personas) se encuentran en el centro de datos.
Un ladrn de poca monta ira tras los ordenadores porttiles o los smartphones;
pero los profesionales se centraran en alcanzar el centro de datos. Y all, las
cerraduras en las puertas pueden ser superadas, por lo que se recomienda
mecanismos de alarmas y de rpida respuesta. Claro est que, si se desea, se
puede dar un paso ms: guardias de seguridad, sistema de seguridad, etc.
Dependiendo de las necesidades de la empresa.

Responsabilidad
Vindolo desde el punto de vista de un administrador de sistemas, es necesario
saber que la mayora de los encargados de las tecnologas son buenos
profesionales y de confianza. An as, es necesaria una rendicin de cuentas de
cualquiera con acceso al centro de datos, para poder realizar un seguimiento de
las interacciones de ste con la gente. Los centros de datos deben registrar
detalles de cada entrada por medio de tarjetas de acceso. Y se recomienda que
estos registros estn en manos de personas fuera de TI (rea de tecnologas de
informacin), tales como del departamento de seguridad. Los visitantes que
ingresen y salgan deben permanecer bajo supervisin en todo momento. Por
ltimo, cada sistema debe contar con un propietario identificado, ya sea un
servidor, un router, un enfriador de centro de datos, o un sistema de alarma.

Polticas
Todos los procesos involucrados con el centro de datos deben tener una poltica
respaldndolos para ayudar a mantener el medio ambiente adecuado y
administrado. Como empresa, necesita polticas para el acceso al sistema y la
utilizacin de ste. Por ejemplo, solo los administradores de bases de datos
tienen un control total al servidor SQL (Lenguaje de consulta estructurado o
Structured Query Language, por sus siglas en ingls). Usted debe contar con
polticas de retencin de datos como: cunto tiempo se almacenan las copias
de seguridad? Los mantiene fuera de sitio? Y si es as, cuntos de stos
caducan?
El mismo concepto se aplica a la instalacin de nuevos sistemas, la
comprobacin de dispositivos obsoletos, y la eliminacin de equipos antiguos.
Por ejemplo, limpiar los discos duros del servidor y donar o reciclar el hardware.

Redundancia
Si usted piensa que tener un neumtico de repuesto es todo lo que necesita su
automvil en una salida al campo, no aplique este concepto a su centro de
datos. ste es, probablemente, mucho ms brillante, caro y valioso, por lo que
necesita ms que un repuesto para asegurarse de que se mantenga saludable.
Por lo menos, necesita dos de todo lo que su empresa requiere para mantenerse
a flote. Y esto se aplica a los servidores de correo electrnico, ISP; enlaces de
fibra de datos o de voz, etc. Aunque tres o ms de cada item no le harn dao.
No solo los repuestos de cada componente son importantes; sino tambin le
hecho de probar y asegurarse que funcionan de forma fiable.

Monitoreo
El seguimiento de todos los sistemas aporta un gran valor proactivo, pero no lo
es todo. Tambin es importante controlar la cantidad de ancho de banda en uso,
as como la energa, el almacenamiento, y todo lo que funcione como un
comodn recibido por su centro de datos.
Adems, existen herramientas gratuitas como Nagios, para el monitoreo de
partes fsicas, o Dranetz, para la medicin de energa.

Escalabilidad
Ya que su empresa necesita 25 servidores hoy en da para una gran variedad de
tareas, incluyendo la virtualizacin, la redundancia, servicios de archivos, correo
electrnico, bases de datos y anlisis, cunto podra necesitar el prximo mes,
el prximo ao o la prxima dcada? Asegrese de tener el centro de datos en
un tamao adecuado con suficiente capacidad de expansin para aumentar la
potencia, la red, el espacio fsico y el almacenamiento. Si sus necesidades de
centros de datos van a crecer (y en caso su empresa sea rentable) es necesario
que inicie la planificacin de este punto.

Gestin del cambio

Tal vez sea posible decir que la Gestin del Cambio tiene relacin con el punto
Polticas. No obstante, vendra a ser tanto poltica como filosofa.
Las correctas guas dentro de la gestin de cambio asegurarn que no ocurra
nada en su centro de datos que no haya sido planificado, programado, discutido
y acordado junto con algn plan B, o de backout. Cualesquiera que sean las
acciones que ocurran, el ciclo de vida de todos los elementos de su centro de
datos debe darse de acuerdo con su visin de la gestin del cambio.

Organizacin
Mayormente, todos los profesionales de TI han sido presionados por el tiempo.
Puede que haya errores cuando se implanta un nuevo sistema, debido al pnico
que se genera por el incumplimiento de plazos. Y estos errores pueden afectar
el ambiente agradable que se tenga en una empresa.
Una implementacin exitosa del sistema no solo significa enchufar y encender;
sino, incluye la integracin de dispositivos en el centro de datos por medio de
mtodos estandarizados y fundamentados

Documentacin y registro
Los centros de datos son un entorno dinmico y si no se tiene un adecuado
control de la informacin y una apropiada administracin de la infraestructura, se
convertirn en una gran carga y por lo tanto sern un costo oculto.

Implementando procedimientos de control apropiados, la posibilidad de cambios

incorrectos o sin registro ser menor y se garantizar que los mantenimientos de
rutina y la deteccin de fallas no se vean comprometidos.

El gran detalle acerca de estos diez conceptos es que conllevan un correcto

funcionamiento de hardware y software. Ya sea el caso que su centro de datos
contenga servidores que ejecutan Linux, Windows u otros sistemas operativos; o
sean slo una coleccin de conmutadores de red y una unidad central, stas
diez claves sern de gran utilidad para usted.

Bibliografa
http://www.ongei.gob.pe/docs/isoiec27001.pdf
http://www.bsigroup.com/es-ES/Seguridad-de-la-Informacion-ISOIEC27001/Implantacion-de-la-norma-ISO-27001/
http://www.bsigroup.com/LocalFiles/esES/Documentos%20tecnicos/8846_BSI_Product_Flyer_27001.pdf
http://www.datacenterdynamics.es/focus/archive/2012/03/diez-aspectosfundamentales-tener-en-cuenta-para-construir-un-datacenter
http://www.gbs.pe/diez-elementos-clave-para-un-centro-de-datos-eficiente/