Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Guia de Aplicacion de La UNE ISOIEC 27001
Guia de Aplicacion de La UNE ISOIEC 27001
Ana Andrs
Luis Gmez
Ttulo: Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Autores: Ana Andrs y Luis Gmez
ISBN: 978-84-8143-602-0
Depsito Legal: M-15480-2009
Impreso en Espaa - Printed in Spain
Edita: AENOR
Maqueta y diseo de cubierta: AENOR
Imprime: AENOR
Todos los derechos reservados. No se permite la reproduccin total o parcial de este libro,
por cualquiera de los sistemas de difusin existentes, sin la autorizacin previa por escrito
de AENOR.
Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.
Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695
comercial@aenor.es www.aenor.es
ndice
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
13
1.1.
Definicin de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
1.2.
14
1.3.
15
15
16
1.4.
17
17
17
1.5.
Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
21
2.1.
21
2.2.
23
23
25
26
26
27
28
29
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
2.2.8.
2.2.9.
2.2.10.
2.2.11.
2.2.12.
2.2.13.
Seleccin de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Declaracin de aplicabilidad . . . . . . . . . . . . . . . . . . . . . . . .
Implementacin y puesta en marcha del SGSI . . . . . . . . . . . .
Control y revisin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . .
Mantenimiento y mejora del SGSI . . . . . . . . . . . . . . . . . . . .
29
30
30
30
31
32
2.3.
Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.2. Control de documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.3. Control de registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
32
33
33
2.4.
Compromiso de la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
2.5.
35
2.6.
Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
2.7.
Auditoras internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
36
2.8.
37
37
38
2.9.
Mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.9.1. Accin correctiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.9.2. Accin preventiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
39
39
40
2.10. El anexo A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
43
3.1.
44
3.2.
Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
3.3.
Organizacin de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
3.4.
47
3.5.
48
3.6.
49
3.7.
51
3.8.
Control de accesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
3.9.
62
65
66
3.12. Cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
68
ndice
71
4.1.
El proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
71
4.2.
73
4.3.
Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74
4.4.
Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
4.5.
Anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
4.6.
Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
81
4.7.
Plan de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
84
4.8.
Procedimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
84
4.9.
Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
86
86
4.12. Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
87
5. Proceso de certificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
91
95
8. Ejemplo prctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
99
8.1.
8.2.
8.3.
8.4.
103
103
103
104
104
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
8.5.
8.6.
121
121
121
121
121
122
122
8.7.
123
123
123
123
124
126
126
126
8.8.
129
129
130
130
130
130
132
132
132
9. Bibliografa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Normas de referencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Links de inters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Norma UNE-ISO/IEC 27001:2007 Tecnologa de la informacin. Tcnicas de
seguridad. Sistemas de Gestin de la Seguridad de la Informacin (SGSI).
Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Introduccin
La informacin es el principal activo de muchas organizaciones y precisa ser protegida adecuadamente frente a amenazas que puedan poner en peligro la continuidad
del negocio.
En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan
cada vez ms con riesgos e inseguridades procedentes de una amplia variedad de
contingencias, las cuales pueden daar considerablemente tanto los sistemas de informacin como la informacin procesada y almacenada.
Ante estas circunstancias, las organizaciones han de establecer estrategias y controles adecuados que garanticen una gestin segura de los procesos del negocio, primando la proteccin de la informacin.
Para proteger la informacin de una manera coherente y eficaz es necesario implementar un Sistema de Gestin de Seguridad de la Informacin (SGSI). Este sistema es una parte del sistema global de gestin, basado en un anlisis de los riesgos
del negocio, que permite asegurar la informacin frente a la prdida de:
Confidencialidad: slo acceder a la informacin quien se encuentre autorizado.
Integridad: la informacin ser exacta y completa.
Disponibilidad: los usuarios autorizados tendrn acceso a la informacin
cuando lo requieran.
La seguridad total es inalcanzable, pero mediante el proceso de mejora continua
del sistema de seguridad se puede conseguir un nivel de seguridad altamente satisfactorio, que reduzca al mnimo los riesgos a los que se est expuesto y el impacto
que ocasionaran si efectivamente se produjeran.
El objeto de esta gua es facilitar la comprensin de los diversos conceptos involucrados en un sistema de gestin normalizado y contemplar recomendaciones generales para la implementacin de un SGSI en una pyme. La aplicacin de la Norma
UNE-ISO/IEC 27001 facilita la mejora en seguridad, pero puede resultar de difcil
aplicacin para quien no se encuentre familiarizado con dichos conceptos.
Esta gua no pretende ser preceptiva (existen infinidad de formas de implementar
correctamente la norma), sino informativa, proporcionando explicaciones bsicas
de los requisitos de la norma y orientando respecto a la manera en que se pueden
cumplir esos requisitos.
Generalmente, una primera aproximacin a la norma puede infundir desconfianza
en cuanto a la capacidad de la empresa para poder llevar a cabo todos los requerimientos que expresa. Muchos trminos no se utilizan en la actividad cotidiana de
una pyme, tales como riesgos, amenazas, vulnerabilidades. Adems, exige una serie
de tareas desconocidas en la operativa habitual, tales como la realizacin de un anlisis de riesgos y la seleccin de controles. Para complicar ms las cosas, se hace
referencia a la Norma PNE-ISO/IEC 27002, que especifica una amplia gama de
controles de seguridad a implementar, en numerosos casos, con una gran carga de
contenido tcnico. Los objetivos, controles e indicaciones contenidos en la Norma
PNE-ISO/IEC 27002 pueden llegar a ser muy difciles de valorar por un gestor
que no cuente con la informacin o la formacin adecuada, hecho que le impedira
decidir cabalmente sobre cul es su relevancia para la empresa y las consecuencias
de la implementacin o no de un determinado control en ella.
Esta gua pretende suplir semejantes carencias, proporcionando informacin detallada sobre el significado prctico de los requisitos de la norma y explicando con
ejemplos cmo se pueden realizar, teniendo siempre en cuenta la situacin inicial,
12
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Introduccin a los
Sistemas de Gestin
de Seguridad de la
Informacin (SGSI)
14
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
incidir en las diferencias fundamentales, a saber, que con un SGSI lo que tratamos es
de gestionar la seguridad de la informacin de nuestra organizacin.
15
Act
Plan
Check
Do
Implantar el SGSI
16
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
17
18
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
19
Integridad
La propiedad de salvaguardar la exactitud y completitud de los activos.
[ISO/IEC 13335-1:2004]
Riesgo residual
Riesgo remanente que existe despus de que se hayan tornado las medidas
de seguridad.
[ISO/IEC Guide 73:2002]
Aceptacin del riesgo
La decisin de aceptar un riesgo.
[ISO/IEC Guide 73:2002]
Anlisis de riesgos
Utilizacin sistemtica de la informacin disponible para identificar peligros
y estimar los riesgos.
[ISO/IEC Guide 73:2002]
Evaluacin de riesgos
El proceso general de anlisis y estimacin de los riesgos.
[ISO/IEC Guide 73:2002]
Estimacin de riesgos
El proceso de comparacin del riesgo estimado con los criterios de riesgo,
para as determinar la importancia del riesgo.
[ISO/IEC Guide 73:2002]
20
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Gestin de riesgos
Actividades coordinadas para dirigir y controlar una organizacin con respecto a los riesgos.
[ISO/IEC Guide 73:2002]
Tratamiento de riesgos
El proceso de seleccin e implementacin de las medidas encaminadas a
modificar los riesgos.
[ISO/IEC Guide 73:2002].
Nota: en esta norma internacional, el trmino control se utiliza como sinnimo de
medida de seguridad.
Declaracin de aplicabilidad
Declaracin documentada que describe los objetivos de control y los controles que son relevantes para el SGSI de la organizacin y aplicables al mismo.
Nota: los objetivos de control y los controles se basan en los resultados y conclusiones de la
evaluacin de riesgos y en los procesos de tratamiento del riesgo, en los requisitos legales
o reglamentarios, en las obligaciones contractuales y en las necesidades empresariales de
la organizacin en materia de seguridad de la informacin.