Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Iso 27001 Isotools
Iso 27001 Isotools
Seguridad de la Información
disponibilidad de la información
que la información es fiable y exacta) y ISO 27001. Sistema de Gestión La piedra angular
disponibilidad (asegurando que los usua- de la Seguridad de la Información
rios autorizados tienen el acceso debido del Sistema de Gestión
a la información). La norma/estándar UNE ISO/IEC 27001: ISO 27001 es el análisis
La información, como uno de los prin- 2007 del “Sistema de Gestión de la Se-
cipales activos de las organizaciones, guridad de la Información” es la solu-
y gestión de los riesgos
debe protegerse a través de la implan- ción de mejora continua más adecuada basado en los
tación, mantenimiento y mejora de las para evaluar los riesgos físicos (incen-
procesos de negocio
medidas de seguridad para que cual- dios, inundaciones, sabotajes, vandalis-
quier empresa logre sus objetivos de mos, accesos indebidos e indeseados) y servicios de TI
negocio, garantice el cumplimiento le- y lógicos (virus informáticos, ataques de
gal, de prestigio y de imagen de la com- intrusión o denegación de servicios) y
pañía. establecer las estrategias y controles
Figura 1. Nuevos negocios y nuevas herramientas en las TIC para los CEO y CIO
ISO 27002
ISO 27011 (ISO 27002 para TELCO)
ISO 27799 (ISO 27002 para SANIDAD)
Fuente: AENOR.
“P”
Establecer alcance del SGSI de riesgos
Realizar análisis de riesgos Implantar el SGSI
Seleccionar los controles Implantar los controles
“D”
de información y operaciones
A.6 Estructura organizativa de la SI A.11 Control de accesos
A.7 Clasificación y control de activos A.12 Desarrollo y mantenimiento
A.8 Seguridad ligada al personal de sistemas
A.9 Seguridad física y del entorno A.13 Gestión de incidentes
“A” de seguridad
A.14 Gestión continuidad de negocio
A.15 Conformidad y cumplimiento
legislación
Fuente: AENOR.
adecuados que aseguren una perma- España es el segundo los riesgos de los sistemas de informa-
nente protección y salvaguarda de la in- ción. De esta forma los procesos de ne-
formación. país de Europa y el sexto gocio/servicios de TI se fundamentan en
El Sistema de Gestión de la Seguridad del mundo por número los activos de las TIC que dan soporte
de la Información (SGSI) se fundamenta a los procesos de negocio/servicios de TI.
en la norma UNE-ISO/IEC 27001:2007,
de certificados de Esto exige un análisis y gestión de
que sigue un enfoque basado en proce- Seguridad de la los riesgos de sistemas de información
sos que utilizan el ciclo de mejora conti- realista y orientado a los objetivos de la
Información, con más
nua o de Deming, que consiste en Panifi- organización. Una vez que se evalúa el
car-Hacer-Verificar-Actuar,más conocido de 710 reconocimientos riesgo y se aplican los controles adecua-
con el acrónimo en inglés PDCA (Plan- dos de la UNE ISO/IEC 27002:2009 o
DO-Check-Act) (similar a la más extendi- de otros estándares nos queda un ries-
da y reconocida norma ISO 9001). Asi- de negocio/servicios de TI (por ejemplo, go residual que la dirección de la empre-
mismo, tiene también su fundamento CRM, ERP, Business Inteligence, redes sa aprueba, y que se revisará al menos
en la norma UNE–ISO/IEC 27002:2009, sociales, movilidad, cloud computing, una vez al año (ver figura 3).
que recoge una lista de objetivos de con- servicios externalizados, Bring You Own Es de destacar que, como todo siste-
trol y controles necesarios para lograr los Device, BYOD, etc.). ma de gestión, el SGSI-ISO 27001 tiene
objetivos de seguridad de la información El análisis y gestión de los riesgos ba- además del PDCA unos indicadores
(ver figura 2). sado en procesos de negocio/servicios (objetivo de la métrica) y métricas para la
La piedra angular de este sistema SG- de Tecnologías de Información es una medición de la eficacia y eficiencia de los
SI-ISO 27001 es el análisis y gestión herramienta muy útil para evaluar y con- controles, que aportan realismo día a día
de los riesgos basados en los procesos trolar una organización con respecto a a la seguridad de los SI.
Fuente: AENOR.
Modelo de gobierno y gestión y mejorar la seguridad de las TIC en el el primer paso hacia la consolidación y
para las TIC nivel del servicio de las mismas. optimización de las TIC en nuestro país.
La otra área de gestión es donde se
La norma ISO 27001 tiene relación con agrupan las actividades de desarrollo de Conclusiones
otras normas que conforman el modelo programas (software), dirigido a la cali-
de gobierno y gestión de las TIC desarro- dad del proceso de ingeniería del soft- El SGSI-ISO 27001 es un sistema activo,
llado por AENOR, basado en estándares ware, con el modelo de evaluación, me- integrado en la organización, orientado a
aceptados mundialmente (ver figura 4). Se jora y madurez del software (SPICE ISO los objetivos empresariales y con una
puede decir que, gracias a este modelo, 15504-ISO 12207). proyección de futuro.
el Centro de Proceso de Datos (CPD) y el Este modelo significa un cambio cul- Es importante resaltar que cada vez
resto de la organización comienzan hablar tural que impacta en el mundo empresa- que se incorpora un nueva herramienta
el mismo lenguaje y a interconectarse de rial y de las Administraciones Públicas en o negocio de TIC a la empresa se debe
manera más natural y eficiente. su relación con las TIC, que ha supuesto actualizar el análisis de riesgos para
Este modelo propone dos certificacio-
nes a máximo nivel: una para el gobierno
corporativo de las TIC (según la norma
ISO 38500) y otra para el Sistema de
Continuidad de Negocio (UNE 71599-2
e ISO 22301) en las empresas. Dentro
de la primera divide a su vez la gestión
en dos áreas: los Sistemas de Gestión
de los Servicios de TI (UNE-ISO/IEC
20000-1) y los Sistemas de Gestión de
la Seguridad de la Información (UNE-
ISO/IEC 27001). Con la implantación de
los sistemas se logra gestionar la calidad
y seguridad de los servicios de Tecnolo-
gías de Información y Comunicación, lo
que trae consigo la minimización de los
riesgos en la seguridad de la información
Figura 4. Modelo de gobierno y gestión de las TIC con normas y estándares ISO
SGCN
Gobierno de TI
UNE 71599-2
ISO 22301 ISO/IEC 38500
IT Governace
Sistema de Gestión Continuidad del Negocio
ISO 20000-2
ISO 12207
Guía de Buenas Prácticas
Ciclo de vida de
desarrollo de software
SGSTI
ISO 27001
Sistema de Gestión de Seguridad
de Información
ISO 27002
Guía de Controles
Fuente: AENOR.
poder mitigar de forma responsable los AENOR en la ISO 27001-SGSI, lo que Este sistema está en plena actuali-
riesgos y, por supuesto, considerando la contribuye a fomentar las actividades de dad y expansión siendo una esplendida
regla básica de Riesgo de TI vs. Control protección de la información en las enti- herramienta para este siglo XXI, pues
vs. Coste, es decir, minimizar los riesgos dades públicas o privadas, mejorando supone una salvaguarda continua para
con medidas de control ajustadas y con- su seguridad de la información, su ima- los sistemas de información y las nue-
siderando los costes del control. gen y generando confianza frente a ter- vas tecnologías. Asimismo supone un
Los certificados, por tercera parte in- ceros. Otros factores intrínsecos al siste- referente para otros sistemas como
dependiente, respaldan el cumplimiento ma son exponer su voluntad de cumplir son el Esquema Nacional de Seguridad,
de las normas, como en el caso de la con la legislación vigente y garantizar la los procesos industriales —SCADA—,
ISO 27001. En una economía cada vez continuidad del negocio. etc.
más globalizada, en la que los producto- Nuestro país ocupa primeros puestos Y dado que se trata de un sistema
res españoles de bienes y servicios de- en la clasificación mundial por número abierto siempre se podrá incorporar
ben competir, los certificados de confor- de certificados: España es el segundo cualquier nueva tecnología que irrumpa
midad son pasaportes de calidad que país de Europa y el sexto del mundo por en el mundo empresarial, por lo que su
abren mercados y una garantía de con- número de certificados de Seguridad de valor añadido de permanente actuali-
fianza entre empresas y consumidores la Información, con más de 710 recono- zación es un potencial muy a tener en
de todo el mundo. cimientos, según el último informe de la cuenta y a valorar en un mundo tan diná-
En el momento actual, más de 350 Organización Internacional de Normali- mico y cambiante como lo es el de las
organizaciones se han certificado con zación (ISO). TIC.