Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sgsi All PDF
Sgsi All PDF
Informacin 1
Contenidos
1. Qu es un SGSI?
3. Qu incluye un SGSI?
WWW.ISO27000.ES
El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el concepto central
sobre el que se construye ISO 27001.
Este proceso es el que constituye un SGSI, que podra considerarse, por analoga con
una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad
de la informacin.
1. Qu es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la 2
Seguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls, siglas
de Information Security Management System.
En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de datos
organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en imgenes,
oral, impresa en papel, almacenada electrnicamente, proyectada, enviada por correo,
fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia
organizacin o de fuentes externas) o de la fecha de elaboracin.
WWW.ISO27000.ES
La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de su
confidencialidad, integridad y disponibilidad, as como de los sistemas implicados en
su tratamiento, dentro de una organizacin. As pues, estos tres trminos constituyen
la base sobre la que se cimienta todo el edificio de la seguridad de la informacin:
WWW.ISO27000.ES
El Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a establecer
estas polticas y procedimientos en relacin a los objetivos de negocio de la
organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de
riesgo que la propia organizacin ha decidido asumir.
Con un SGSI, la organizacin conoce los riesgos a los que est sometida su
informacin y los asume, minimiza, transfiere o controla mediante una sistemtica
definida, documentada y conocida por todos, que se revisa y mejora constantemente. 4
3. Qu incluye un SGSI?
En el mbito de la gestin de la calidad segn ISO 9001, siempre se ha mostrado
grficamente la documentacin del sistema como una pirmide de cuatro niveles. Es
posible trasladar ese modelo a un Sistema de Gestin de la Seguridad de la
Informacin basado en ISO 27001 de la siguiente forma:
WWW.ISO27000.ES
Documentos de Nivel 1
Manual de seguridad: por analoga con el manual de calidad, aunque el trmino se usa
tambin en otros mbitos. Sera el documento que inspira y dirige todo el sistema, el
que expone y determina las intenciones, alcance, objetivos, responsabilidades,
polticas y directrices principales, etc., del SGSI.
Documentos de Nivel 2
Documentos de Nivel 3
Documentos de Nivel 4
De manera especfica, ISO 27001 indica que un SGSI debe estar formado por los
siguientes documentos (en cualquier formato o tipo de medio): 5
Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI,
incluyendo una identificacin clara de las dependencias, relaciones y lmites que
existen entre el alcance y aquellas partes que no hayan sido consideradas (en
aquellos casos en los que el mbito de influencia del SGSI considere un subconjunto
de la organizacin como delegaciones, divisiones, reas, procesos, sistemas o
tareas concretas).
WWW.ISO27000.ES
seguridad de la informacin, en funcin de las conclusiones obtenidas de la
evaluacin de riesgos, de los objetivos de control identificados, de los recursos
disponibles, etc.
Control de la documentacin
Garantizar que los cambios y el estado actual de revisin de los documentos estn
identificados. 6
Garantizar que las versiones relevantes de documentos vigentes estn disponibles
en los lugares de empleo.
Garantizar que los documentos permanecen disponibles para aquellas personas que
los necesiten y que son transmitidos, almacenados y finalmente destruidos acorde
con los procedimientos aplicables segn su clasificacin.
WWW.ISO27000.ES
Plan (planificar): establecer el SGSI.
Definir una metodologa de evaluacin del riesgo apropiada para el SGSI y los
requerimientos del negocio, adems de establecer los criterios de aceptacin del
riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta
metodologa es que los resultados obtenidos sean comparables y repetibles (existen
numerosas metodologas estandarizadas para la evaluacin de riesgos, aunque es
perfectamente aceptable definir una propia).
identificar los activos que estn dentro del alcance del SGSI y a sus
responsables directos, denominados propietarios;
WWW.ISO27000.ES
identificar las amenazas en relacin a los activos;
WWW.ISO27000.ES
Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 para
el tratamiento del riesgo que cumplan con los requerimientos identificados en el
proceso de evaluacin del riesgo.
Aprobar por parte de la direccin tanto los riesgos residuales como la implantacin y
uso del SGSI.
los objetivos de control y controles del Anexo A excluidos y los motivos para su
exclusin; este es un mecanismo que permite, adems, detectar posibles
omisiones involuntarias.
En relacin a los controles de seguridad, el estndar ISO 27002 (antigua ISO 17799)
proporciona una completa gua de implantacin que contiene 133 controles, segn 39
objetivos de control agrupados en 11 dominios. Esta norma es referenciada en ISO
27001, en su segunda clusula, en trminos de documento indispensable para la
aplicacin de este documento y deja abierta la posibilidad de incluir controles
adicionales en el caso de que la gua no contemplase todas las necesidades
particulares.
WWW.ISO27000.ES
Check: Monitorizar y revisar el SGSI
La organizacin deber:
WWW.ISO27000.ES
Act: Mantener y mejorar el SGSI
Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de
detalle adecuado y acordar, si es pertinente, la forma de proceder.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de
nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Tngase en
cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej.,
puede haber actividades de implantacin que ya se lleven a cabo cuando otras de
planificacin an no han finalizado; o que se monitoricen controles que an no estn
implantados en su totalidad.
El trmino Direccin debe contemplarse siempre desde el punto de vista del alcance
del SGSI. Es decir, se refiere al nivel ms alto de gerencia de la parte de la
organizacin afectada por el SGSI (recurdese que el alcance no tiene por qu ser
toda la organizacin).
Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la direccin se
detallan en los siguientes puntos:
Compromiso de la direccin
WWW.ISO27000.ES
Asegurarse de que se establecen objetivos y planes del SGSI.
Asignacin de recursos
Formacin y concienciacin
WWW.ISO27000.ES
Evaluar la eficacia de las acciones realizadas.
Adems, la direccin debe asegurar que todo el personal relevante est concienciado
de la importancia de sus actividades de seguridad de la informacin y de cmo
contribuye a la consecucin de los objetivos del SGSI.
Recomendaciones de mejora.
Necesidades de recursos.
WWW.ISO27000.ES
6. Se integra un SGSI con otros sistemas de gestin?
Un SGSI es, en primera instancia, un sistema de gestin, es decir, una herramienta de
la que dispone la gerencia para dirigir y controlar un determinado mbito, en este caso,
la seguridad de la informacin.
El objetivo ltimo debera ser llegar a un nico sistema de gestin que contemple
todos los aspectos necesarios para la organizacin, basndose en el ciclo PDCA de
mejora continua comn a todos estos estndares. Las facilidades para la integracin
de las normas ISO son evidentes mediante la consulta de sus anexos.
ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre esta
norma y la ISO 9001 e ISO 14001. Ah se observa la alta correlacin existente y se
puede intuir la posibilidad de integrar el sistema de gestin de seguridad de la
informacin en los sistemas de gestin existentes ya en la organizacin. Algunos
puntos que suponen una novedad en ISO 27001 frente a otros estndares son la 14
evaluacin de riesgos y el establecimiento de una declaracin de aplicabilidad (SOA),
aunque ya se plantea incorporar stos al resto de normas en un futuro.
WWW.ISO27000.ES