Está en la página 1de 8

INTRODUCCIÓN

1.- ¿Qué es seguridad de la información?

Se entiende por seguridad de la información a todas aquellas medidas


preventivas y reactivas del hombre, de las organizaciones y de los sistema
tecnológicos que permitan resguardar y proteger la información buscando
mantener la confidencialidad, la autenticidad y Integridad de la misma.

El concepto de seguridad de la información no debe ser confundido con el de


seguridad informática, ya que este último sólo se encarga de la seguridad en el
medio informático, pudiendo encontrar información en diferentes medios o
formas.

Para el hombre como individuo, la seguridad de la información tiene un efecto


significativo respecto a su privacidad, la que puede cobrar distintas
dimensiones dependiendo de la cultura del mismo.

El campo de la seguridad de la información ha crecido y evolucionado


considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en
una carrera acreditada a nivel mundial.

Esta ofrece muchas áreas de especialización, incluidos la auditoría de sistemas


de información, Planificación de la continuidad del negocio, Ciencia Forense
Digital y Administración de Sistemas de Gestión de Seguridad por nombrar
algunos.

La información tiene una importancia fundamental para el funcionamiento y


quizá incluso sea decisiva para la supervivencia de una organización. El hecho
de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y
proteger sus activos de información.

ISO 27001

2.- Metodología ISO 27001

Es un estándar ISO que proporciona un modelo para establecer, implementar,


utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de
Seguridad de la Información (SGSI). Se basa en el ciclo de vida PDCA
(Planear-Hacer-Verificar-Actuar; o ciclo de Deming) de mejora continua, al igual
que otras normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001
para medio ambiente, etc.).

De manera específica, ISO 27001 indica que un SGSI debe estar formado por
los siguientes documentos (en cualquier formato o tipo de medio):

 Alcance del SGSI: ámbito de la organización que queda sometido al SGSI,


incluyendo una identificación clara de las dependencias, relaciones y
límites que existen entre el alcance y aquellas partes que no hayan sido
consideradas (en aquellos casos en los que el ámbito de influencia del
SGS considere un subconjunto de la organización como delegaciones,
divisiones, áreas, procesos, sistemas o tareas concretas).

 Política y objetivos de seguridad: documento de contenido genérico que


establece el compromiso de la dirección y el enfoque de la organización en
la gestión de la seguridad de la información.

 Procedimientos y mecanismos de control que soportan al SGSI:


aquellos procedimientos que regulan el propio funcionamiento del SGSI.
Documentación necesaria para asegurar la planificación, operación y
control de los procesos de seguridad de la información, así como para la
medida de la eficacia de los controles implantados -Métricas.

 Enfoque de evaluación de riesgos: descripción de la metodología a


emplear (cómo se realizará la evaluación de las amenazas,
vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los
activos de información contenidos dentro

del alcance seleccionado), desarrollo de criterios de aceptación de riesgo y


fijación de niveles de riesgo aceptables.

 Informe de evaluación de riesgos: estudio resultante de aplicar la


metodología de evaluación anteriormente mencionada a los activos de
información de la organización.

 Plan de tratamiento de riesgos: documento que identifica las acciones de


la dirección, los recursos, las responsabilidades y las prioridades para
gestionar los riesgos de seguridad de la información, en función de las
conclusiones obtenidas de la evaluación de riesgos, de los objetivos de
control identificados, de los recursos disponibles, etc.

 Procedimientos documentados: todos los necesarios para asegurar la


planificación, operación y control de los procesos de seguridad de la
información, así como para la medida de la eficacia de los controles
implantados.

 Registros: documentos que proporcionan evidencias de la conformidad


con los requisitos y del funcionamiento eficaz del SGSI.

 Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus


siglas inglesas); documento que contiene los objetivos de control y los
controles contemplados por el SGSI, basado en los resultados de los
procesos de evaluación y tratamiento de riesgos, justificando inclusiones y
exclusiones.
3.- ¿Qué es un SGSI?

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la


Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés,
siglas de Information Security Management System.

Se entiende por información todo aquel conjunto de datos organizados en


poder de una entidad que posean valor para la misma, independientemente de
la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en
papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-
mail, transmitida en conversaciones, etc.), de su origen (de la propia
organización o de fuentes externas) o de la fecha de elaboración.

El propósito de un sistema de gestión de la seguridad de la información no es


garantizar la seguridad (que nunca podrá ser absoluta) sino garantizar que los
riesgos de la seguridad de la información sean conocidos, asumidos,
gestionados y minimizados por la organización de una forma documentada,
sistemática, estructurada, continua, repetible, eficiente y adaptada a los
cambios que se produzcan en la organización, los riesgos, el entorno y las
tecnologías.

La seguridad de la información, según ISO 27001, consiste en la preservación


de su confidencialidad, integridad, disponibilidad y legalidad, así como de
los sistemas implicados en su tratamiento, dentro de una organización. Así
pues, estos cuatro términos constituyen la base sobre la que se cimienta todo
el edificio de la seguridad de la información:

 Integridad: Mantener la exactitud y completitud de la información y sus


métodos de proceso.

 Privacidad: La información no se pone a disposición ni se revela a


individuos, entidades o procesos no autorizados.

 Legalidad: La información debe de cumplir con las leyes vigentes


dependiendo del lugar donde se encuentran y son manejadas.

 Disponibilidad: El acceso y la utilización de la información y los sistemas


de tratamiento de la misma por parte de los individuos, entidades o
procesos autorizados cuando lo requieran.
Fig. F1 SGSI Principios básicos.

Para garantizar que la seguridad de la información es gestionada


correctamente, se debe hacer uso de un proceso sistemático, documentado y
conocido por toda la organización, desde un enfoque de riesgo empresarial.
Este proceso es el que constituye un SGSI.

ISO/IEC 27001 es la única norma internacional auditable que define los


requisitos para un sistema de gestión de la seguridad de la información (SGSI).
La norma se ha concebido para garantizar la selección de controles de
seguridad adecuados y proporcionales.

CONTROLES

 Un “Control” es lo que permite garantizar que cada aspecto, que se


valoró con un cierto riesgo, queda cubierto y auditable.

Control abarca todo el conjunto de acciones, documentos, medidas a adoptar,


procedimientos, medidas técnicas, etc.

Política de seguridad.

- Política de seguridad (Nivel político o estratégico de la organización): Define


las grandes líneas a seguir y el nivel de compromiso de la dirección con ellas.
- Plan de Seguridad (Nivel de planeamiento o táctico): Define el “Cómo”. Es
decir, baja a un nivel más de detalle, para dar inicio al conjunto de acciones o
líneas rectoras que se deberán cumplir.

Organización de la información de seguridad.

- Organización Interna: Compromiso de la Dirección, coordinaciones,


responsabilidades, autorizaciones, acuerdos de confidencialidad, contactos con
autoridades y grupos de interés en temas de seguridad, revisiones
independientes.
- Partes externas: Riesgos relacionados con terceros, gobierno de la seguridad
respecto a clientes y socios de negocio.

Administración de recursos

- Responsabilidad en los recursos: Inventario y propietario de los recursos,


empleo aceptable de los mismos.
- Clasificación de la información: Guías de clasificación y Denominación,
identificación y tratamiento de la información.

Seguridad de los recursos humanos.

- Antes del empleo: Responsabilidades y roles, verificaciones curriculares,


términos y condiciones de empleo.
- Durante el empleo: Administración de responsabilidades, preparación,
educación y entrenamiento en seguridad de la información, medidas
disciplinarias.
- Finalización o cambio de empleo: Finalización de responsabilidades,
devolución de recursos, revocación de derechos.

Seguridad física y del entorno

- Áreas de seguridad: Seguridad física y perimetral, control físico de entradas,


seguridad de locales edificios y recursos, protección contra amenazas externas
y del entorno, el trabajo en áreas e seguridad, accesos públicos, áreas de
entrega y carga.

- Seguridad de elementos: Ubicación y protección de equipos, elementos de


soporte a los equipos, seguridad en el cableado, mantenimiento de equipos,
seguridad en el equipamiento fuera de la organización, seguridad en la
redistribución o reutilización de equipamiento, borrado de información y/o
software.

4.- ¿Cómo se implementa un SGSI?

Para establecer y gestionar un Sistema de Gestión de la Seguridad de la


Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional
en los sistemas de gestión de la calidad.

• Plan (planificar): establecer el SGSI.

• Do (hacer): implementar y utilizar el SGSI.

• Check (verificar): monitorizar y revisar el SGSI.

• Act (actuar): mantener y mejorar el SGSI.


La ISO/IEC 27001:2005 está compuesta para ser adecuada a diferentes tipos
de usos, incluidos, entre otros, los siguientes:

 Uso dentro de las organizaciones para formular requerimientos y


objetivos de seguridad.

 Uso dentro de las organizaciones como una forma de asegurar que los
riesgos de seguridad están gestionados efectivamente.

 Uso de las organizaciones para proveer a los clientes información


relevante acerca de la seguridad de información.

Uso de parte de la gerencia de la organización para determinar el estado de las


actividades de la administración de la seguridad de la información

5.- ¿QUIÉNES LA UTILIZAN?

ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o


pequeña, de cualquier sector o parte del mundo. La norma es particularmente
interesante si la protección de la información es crítica, como en finanzas,
sanidad sector público y tecnología de la información (TI).

ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la


información por encargo de otros, por ejemplo, empresas de subcontratación
de TI. Puede utilizarse para garantizar a los clientes que su información está
protegida.

6.- BENEFICIOS

• Establecimiento de una metodología de gestión de la seguridad clara y


estructurada.

• Reducción del riesgo de pérdida, robo o corrupción de información.

• Los clientes tienen acceso a la información a través medidas de seguridad.

• Los riesgos y sus controles son continuamente revisados.

• Confianza de clientes y socios estratégicos por la garantía de calidad y


confidencialidad comercial.

• Las auditorías externas ayudan cíclicamente a identificar las debilidades del


sistema y las áreas a mejorar.

• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO


14001, OHSAS 18001…).
• Continuidad de las operaciones necesarias de negocio tras incidentes de
gravedad.

• Conformidad con la legislación vigente sobre información personal, propiedad


intelectual y otras.

• Imagen de empresa a nivel internacional y elemento diferenciador de la


competencia.

• Confianza y reglas claras para las personas de la organización.

• Reducción de costes y mejora de los procesos y servicio.

• Aumento de la motivación y satisfacción del personal.

• Aumento de la seguridad en base a la gestión de procesos en vez de en la


compra sistemática de productos y tecnologías.

7.- IMPLEMENTACIÓN

La implantación de ISO/IEC 27001 en una organización es un proyecto que


suele tener una duración entre 6 y 12 meses, dependiendo del grado de
madurez en seguridad de la información y el alcance, entendiendo por alcance
el ámbito de la organización que va a estar sometido al Sistema de Gestión de
la Seguridad de la Información elegido. En general, es recomendable la ayuda
de consultores externos. El equipo de proyecto de implantación debe estar
formado por representantes de todas las áreas de la organización que se vean
afectadas por el SGSI, liderado por la dirección y asesorado por consultores
externos especializados en seguridad informática, derecho de las nuevas
tecnologías, protección de datos y sistemas de gestión de seguridad de la
información (que hayan realizado un curso de implantador de SGSI).
REFERENCIAS

ISO/IEC 27001 Seguridad de la información.(s.f.). Recuperado el 18/02/2010,


de
http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-
gestion/estandares-esquemas/ISOIEC-27001

ISO/IEC 27001:2005.(s.f.). Recuperado el 18/02/2010, de


http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?
csnumber=42103

La serie 27000.(s.f.). Recuperado el 18/02/2010, de


http://www.iso27000.es/iso27000.html