Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Información
En las siguientes secciones (a las que puede acceder directamente a través del
submenú de la izquierda o siguiendo los marcadores de final de página) se
desarrollarán los conceptos fundamentales de un SGSI según la norma ISO
27001.
• ¿Qué es un SGSI?
La información, junto a los procesos y sistemas que hacen uso de ella, son
activos muy importantes de una organización. La confidencialidad, integridad y
disponibilidad de información sensible pueden llegar a ser esenciales para
mantener los niveles de competitividad, rentabilidad, conformidad legal e
imagen empresarial necesarios para lograr los objetivos de la organización y
asegurar beneficios económicos.
Documentos de Nivel 1
Manual de seguridad: por analogía con el manual de calidad, aunque el término
se usa también en otros ámbitos. Sería el documento que inspira y dirige todo
el sistema, el que expone y determina las intenciones, alcance, objetivos,
responsabilidades, políticas y directrices principales, etc., del SGSI.
Documentos de Nivel 2
Documentos de Nivel 3
Documentos de Nivel 4
De manera específica, ISO 27001 indica que un SGSI debe estar formado por
los siguientes documentos (en cualquier formato o tipo de medio):
Control de la documentación
Definir una metodología de evaluación del riesgo apropiada para el SGSI y los
requerimientos del negocio, además de establecer los criterios de aceptación
del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta
metodología es que los resultados obtenidos sean comparables y repetibles
(existen numerosas metodologías estandarizadas para la evaluación de
riesgos, aunque es perfectamente aceptable definir una propia).
– identificar los activos que están dentro del alcance del SGSI y a sus
responsables directos, denominados propietarios;
– los objetivos de control y controles del Anexo A excluidos y los motivos para
su exclusión; este es un mecanismo que permite, además, detectar posibles
omisiones involuntarias.
La organización deberá:
• Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad.
• Comunicar las acciones y mejoras a todas las partes interesadas con el nivel
de detalle adecuado y acordar, si es pertinente, la forma de proceder.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva
de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases.
Téngase en cuenta que no tiene que haber una secuencia estricta de las fases,
sino que, p. ej., puede haber actividades de implantación que ya se lleven a
cabo cuando otras de planificación aún no han finalizado; o que se monitoricen
controles que aún no están implantados en su totalidad.
Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la
dirección se detallan en los siguientes puntos:
Compromiso de la dirección
Asignación de recursos
Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, es
imprescindible la asignación de recursos. Es responsabilidad de la dirección
garantizar que se asignan los suficientes para:
Formación y concienciación
• Recomendaciones de mejora.
• Necesidades de recursos.
La gestión de las actividades de las organizaciones se realiza, cada vez con más
frecuencia, según sistemas de gestión basados en estándares internacionales:
se gestiona la calidad según ISO 9001, el impacto medio-ambiental según ISO
14001 o la prevención de riesgos laborales según OHSAS 18001. Ahora, se
añade ISO 27001 como estándar de gestión de seguridad de la información.
Entre las diferentes normas que se pueden utilizar con PAS 99 (dos o varias)
dentro de un sistema de gestión integrada típico pueden incluirse ISO 9001
(Gestión de la calidad), ISO 14001 (Gestión medioambiental), OHSAS 18001
(Salud y seguridad en el trabajo), ISO/IEC 27001 (Seguridad de la
información), ISO 22000 (Inocuidad de los alimentos seguridad alimentaria),
ISO/IEC 20000 (Gestión de servicios de TI), entre otros sistemas de gestión
basados en un ciclo Deming "Plan-Do-Check-Act" de mejora contínua.
• ISO 27000
En este apartado se resumen las distintas normas que componen la serie ISO
27000 y se indica cómo puede una organización implantar un sistema de
gestión de seguridad de la información (SGSI) basado en ISO 27001.
Acceda directamente a las secciones de su interés a través del submenú de la
izquierda o siguiendo los marcadores de final de página.
• Origen
La norma BS 7799 de BSI apareció por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -británica o no- un conjunto de buenas
prácticas para la gestión de la seguridad de su información.
La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas,
para la que no se establecía un esquema de certificación. Es la segunda parte
(BS 7799-2), publicada por primera vez en 1998, la que estableció los
requisitos de un sistema de seguridad de la información (SGSI) para ser
certificable por una entidad independiente.
• ISO/IEC 27000:
• ISO/IEC 27001:
• ISO/IEC 27002:
• ISO/IEC 27003:
• ISO/IEC 27004:
• ISO/IEC 27005:
• ISO/IEC 27006:
• ISO/IEC 27007:
• ISO/IEC 27008:
• ISO/IEC 27010:
• ISO/IEC 27011:
• ISO/IEC 27012:
• ISO/IEC 27013:
• ISO/IEC 27014:
• ISO/IEC 27015:
• ISO/IEC 27032:
• ISO/IEC 27033:
• ISO/IEC 27034:
• ISO/IEC 27035:
• ISO/IEC 27036:
• ISO/IEC 27037:
• ISO 27799:
• Contenido
ISO 27000:2009
0 Introduction
1 Scope
Bibliography
ISO 27001:2005
Índice
Puede descargarse una lista de todos los controles que contiene esta norma
aquí: http://www.iso27000.es/download/ControlesISO27002-2005.pdf
ISO 27003:2010
- Foreword
- Introduction
1 Scope
2 Normative references
3 Terms and definitions
ISO 27004:2009
0 Introduction
0.1 General
0.2 Management overview
1 Scope
2 Normative references
6 Management responsibilities
6.1 Overview
6.2 Resource management
6.3 Measurement training, awareness, and competence
8 Measurement operation
8.1 Overview
8.2 Procedure integration
8.3 Data collection, storage and verification
Bibliography
ISO 27005:2008
Foreword
1 Scope
2 Normative references
5 Background
7 Context establishment
7.1 General considerations
7.2 Basic criteria
7.3 The scope and boundaries
7.4 Organization for information security risk management
Bibliography
ISO 27006:2007
ISO 27011:2008
1 Scope
2 Normative references
4 Overview
4.1 Structure of this guideline
4.2 Information security management systems in telecommunications business
5 Security policy
7 Asset management
7.1 Responsibility for assets
7.2 Information classification
11 Access control
11.1 Business requirement for access control
11.2 User access management
11.3 User responsibilities
11.4 Network access control
11.5 Operating system access control
11.6 Application and information access control
11.7 Mobile computing and teleworking
15 Compliance
Bibliography
ISO 27033-1:2009
1 Scope
2 Normative references
4 Abbreviated terms
5 Structure
6 Overview
6.1 Background
6.2 Network Security Planning and Management
8 Supporting Controls
8.1 Introduction
8.2 Management of Network Security
8.3 Technical Vulnerability Management
8.4 Identification and Authentication
8.5 Network Audit Logging and Monitoring
8.6 Intrusion Detection and Prevention
8.7 Protection against Malicious Code
8.8 Cryptographic Based Services
8.9 Business Continuity Management
Annex A
ISO 27799:2008
• Alcance
• Referencias (Normativas)
• Terminología
• Simbología
• Seguridad de la información sanitaria (Objetivos; Seguridad en el
gobierno de la información; Infomación sanitara a proteger; Amenazas y
vulnerabilidades)
• Anexo A: Amenazas
• Beneficios
• ¿Cómo adaptarse?
Arranque del proyecto
Planificación
• Definir alcance del SGSI: en función de características del negocio,
organización, localización, activos y tecnología, definir el alcance y los límites
del SGSI (el SGSI no tiene por qué abarcar toda la organización; de hecho, es
recomendable empezar por un alcance limitado). Es importante disponer de un
mapa de procesos de negocio, definir claramente los interfaces con el exterior
del alcance, determinar las terceras partes (proveedores, clientes...) que tienen
influencia sobre la seguridad de la información del alcance, crear mapas de alto
nivel de redes y sistemas, definir las ubicaciones físicas, disponer de
organigramas organizativos, definir claramente los requisitos legales y
contractuales relacionados con seguridad de la información, etc.
• Definir política del SGSI: que incluya el marco general y los objetivos de
seguridad de la información de la organización, tenga en cuenta los requisitos
de negocio, legales y contractuales en cuanto a seguridad, esté alineada con la
gestión de riesgo general, establezca criterios de evaluación de riesgo y sea
aprobada por la Dirección. La política del SGSI es normalmente un documento
muy general, una especie de "declaración de intenciones" de la Dirección.
Implementación
• Definir plan de tratamiento de riesgos: que identifique las acciones, recursos,
responsabilidades y prioridades en la gestión de los riesgos de seguridad de la
información.
• Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
Seguimiento
• Medir la eficacia de los controles: para verificar que se cumple con los
requisitos de seguridad.
Mejora continua
• Implantar mejoras: poner en marcha todas las mejoras que se hayan
propuesto en la fase anterior.
• Aspectos clave
Fundamentales
• Organización y comunicación.
Factores de éxito
Riesgos
Consejos básicos
• Otros estándares
Las normas publicadas bajo la serie ISO 27000 son estándares alineados con el
conjunto de normas publicadas por ISO (International Organization for
Standardization) e IEC (International Electrotechnical Commission) actuales o
futuras y que son desarrolladas mediante comités técnicos específicos.
• Colaboración con otros grupos de trabajo del SC27, en particular con el WG4
en cuanto a estándares relativos a la implementación de objetivos de control y
controles definidos en ISO/IEC 27001.
• Colaboración con otros grupos de trabajo del SC27, en particular con el WG1.
• Certificación
Esto quiere decir que la organización que tenga implantado un SGSI puede
solicitar una auditoría a una entidad certificadora acreditada y, caso de superar
la misma con éxito, obtener una certificación del sistema según ISO 27001.
• Implicación de la Dirección.
• Declaración de aplicabilidad.
• Registros.
• Política de seguridad.
El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO
14001…).
• Auditoría y certificación
Una vez implantado el SGSI en la organización, y con un historial demostrable
de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que
se desarrolla de la siguiente forma:
• Compromiso.
• La entidad de certificación
• El auditor
En este punto, hay pequeñas diferencias entre las entidades certificadoras, que
pueden formular requisitos distintos para homologar a sus auditores. Pero, en
general, la certificación de auditores se ciñe a la norma ISO 19011 de
directrices para la auditoría de sistemas de gestión, que dedica su punto 7 a la
competencia y evaluación de los auditores. Al auditor se le exigen una serie de
atributos personales, conocimientos y habilidades, educación formal,
experiencia laboral y formación como auditor.
• Norma ISO27001
¿Qué es ISO?
¿Qué es un estándar?
¿Qué tiene que ver ISO 27001 con ISO 27002 (anteriormente
denominada 17799)?
ISO 27001 contiene un anexo A, que considera los controles de la norma ISO
27002 para su posible aplicación en el SGSI que implante cada organización
(justificando, en el documento denominado “Declaración de Aplicabilidad”, los
motivos de exclusión de aquellos que finalmente no sean necesarios). ISO
27002 es para ISO 27001, por tanto, una relación de controles necesarios para
garantizar la seguridad de la información.
A partir del 1 de Julio de 2007, ISO 17799:2005 pasó a denominarse ISO
27002:2005, cambiando únicamente su nomenclatura.
¿ISO 27001 tiene que ver sólo con la seguridad informática de una
empresa?
Por tanto, los términos en que debe entender la Dirección la importancia de ISO
27001 son los de los riesgos asumibles, la continuidad de negocio y los costes
de “no-seguridad”. La Dirección no tiene por qué verse confrontada con
tecnologías y descripción de amenazas desde el punto de vista técnico.
Es una norma española certificable de ámbito local que surgió como versión
adaptada de BS7799-2 y que también guarda relación con UNE-ISO/IEC17799
mediante su Anexo A.
Ya no es posible certificarse contra UNE 71502. Por otra parte, las empresas
certificadas en su momento bajo el estándar nacional UNE 71502 que hayan
mantenido la certificación habrán adaptado sus SGSI y renovado sus
certificaciones bajo el marco común internacional ISO/IEC 27001.
ISO 27001 ha sido redactada de forma análoga a otros estándares, como ISO
9001 (Calidad), ISO 14001 (Medio Ambiente) y OHSAS 18001 (prevención de
riesgos), con el objetivo, entre otros, de facilitar a las organizaciones la
integración de todos ellos en un solo sistema de gestión. La propia norma
incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con
ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentación
necesaria para facilitar la integración.
• Recopilar información en páginas web como esta que está visitando y asistir a
eventos informativos.
• Comprar las normas ISO 27001 e ISO 27002 en los sitios oficiales; p. ej.,
ISO, AENOR en España, DGN en México, ICONTEC en Colombia, INN en
Chile, IRAM en Argentina, etc. (lista completa en ISO).
• Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con los
controles de ISO 27002. Aunque no sea un análisis exhaustivo, proporciona una
idea aproximada de la distancia que le separa de la conformidad con la norma y
el camino que habrá que recorrer.
Sin embargo, recuerde que las decisiones de negocio no deben ser trasladadas
a nadie externo a la organización.
• Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con
una o varias entidades de certificación acreditadas (como en la contratación de
otros servicios puede ser recomendable la estrategia de solicitar tres ofertas y
comparar la calidad y coste de los proveedores de los servicios) para pedir
formalmente la visita de auditoría (sus tarifas y oferta de servicios pueden
diferir). Ofrecen, adicionalmente, un servicio añadido de “pre-auditoria” muy
recomendable para afrontar con garantías una primera certificación en la
norma. En nuestra sección de Certificación encontrará informaciones
adicionales que pueden ser de utilidad.
• SGSI
¿Qué es un SGSI?
¿Qué es un ISMS?
Estas medidas no son más que unos pocos controles técnicos que, por sí
mismos, no significan que se esté gestionando la seguridad. Un SGSI implica
que la organización ha estudiado los riesgos a los que está sometida toda su
información, ha evaluado qué nivel de riesgo asume, ha implantado controles
(no sólo tecnológicos, sino también organizativos) para aquellos riesgos que
superan dicho nivel, ha documentado las políticas y procedimientos
relacionados y ha entrado en un proceso continuo de revisión y mejora de todo
el sistema.
PDCA son las siglas en inglés del conocido como ciclo de Deming: Plan-Do-
Check-Act (Planificar-Hacer-Verificar-Actuar).
• Certificación
¿Por qué dentro de la serie es certificable únicamente la 27001?
Cada país tiene una entidad de acreditación (algunos, varias) que se encarga de
supervisar que las entidades de certificación (las que, finalmente, auditan y
certifican los sistemas de gestión de las empresas) están capacitadas para
desempeñar su labor y se ajustan a los esquemas establecidos. En España, es
ENAC (Entidad Nacional de Acreditación; http://www.enac.es) quien tiene esta
misión y existe como regla general una única entidad de acreditación por país
(una contada excepción se localiza en Nueva Zelanda que comparte la misma
entidad de acreditación con Australia).
• Compromiso.
Como obligación legal existen países y sectores concretos (por ej. Sanitario) en
los que se exige la certificación ISO 27001 a los proveedores de servicios
vinculados.