Está en la página 1de 94

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Sistema de Gestión de la Seguridad de la Información

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001.

La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.

Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información.

Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

¿Qué es un SGSI?

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.

En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI La seguridad de la información,

La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información:

• Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.

Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.

¿Para qué sirve un SGSI?

La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.

Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

las vulnerabilidades existentes, pueden someter a activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos.

El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones variables del entorno, la protección adecuada de los objetivos de negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones.

de importante ayuda para la gestión de las organizaciones. El nivel de seguridad alcanzado por medios

El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomando en consideración también a clientes y proveedores de bienes y servicios. El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.

El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.

Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

¿Qué incluye un SGSI?

En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado gráficamente la documentación del sistema como una pirámide de cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la Información basado en ISO 27001 de la siguiente forma:

la Información basado en ISO 27001 de la siguiente forma: Documentos de Nivel 1 Manual de

Documentos de Nivel 1

Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.

Documentos de Nivel 2

Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información.

Documentos de Nivel 3

Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.

Documentos de Nivel 4

del

cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado

Registros:

proporcionan

documentos

que

una

evidencia

objetiva

en los mismos.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio):

Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de influencia del SGSI considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas).

Política y objetivos de seguridad: documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información.

Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI.

Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables .

• Informe

la

metodología de evaluación anteriormente mencionada a los activos de información de la organización.

de

evaluación

de

riesgos:

estudio

resultante

de

aplicar

Plan de tratamiento de riesgos: documento que identifica las acciones de la dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc.

• Procedimientos

documentados:

todos

los

necesarios

para

asegurar

la

 

planificación,

operación

y control

de

los procesos de

seguridad de

la

información, así como para la medida de la eficacia de los controles implantados.

Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI.

Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.

Control de la documentación

Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento que defina las acciones de gestión necesarias para:

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Aprobar documentos apropiados antes de su emisión.

Revisar y actualizar documentos cuando sea necesario y renovar su validez.

• Garantizar que los cambios y el estado actual de revisión de los documentos están identificados.

• Garantizar que las versiones relevantes de documentos vigentes están disponibles en los lugares de empleo.

• Garantizar

que

identificables.

los

documentos

se

mantienen

legibles

y

fácilmente

Garantizar

• que

los

documentos

permanecen

disponibles

para

aquellas

personas

que

los

necesiten

y

que

son

transmitidos,

almacenados

y

finalmente destruidos acorde con los procedimientos aplicables según su clasificación.

• Garantizar que los documentos procedentes del exterior están identificados.

• Garantizar que la distribución de documentos está controlada.

• Prevenir la utilización de documentos obsoletos.

• Aplicar la identificación apropiada a documentos que son retenidos con algún propósito.

¿Cómo se implementa un SGSI?

Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.

PDCA, tradicional en los sistemas de gestión de la calidad. • Plan (planificar): establecer el SGSI.

Plan (planificar): establecer el SGSI.

Do (hacer): implementar y utilizar el SGSI.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Check (verificar): monitorizar y revisar el SGSI.

Act (actuar): mantener y mejorar el SGSI.

Plan: Establecer el SGSI

• Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión.

• Definir una política de seguridad que:

– Incluya el marco general y los objetivos de seguridad de la información de la organización;

– Considere requerimientos legales o contractuales relativos a la seguridad de la información;

– Esté alineada con el contexto estratégico de gestión de riesgos de la organización en el que se establecerá y mantendrá el SGSI;

– Establezca los criterios con los que se va a evaluar el riesgo;

– Esté aprobada por la dirección.

• Definir una metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio, además de establecer los criterios de aceptación del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodología es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologías estandarizadas para la evaluación de riesgos, aunque es perfectamente aceptable definir una propia).

Identificar los riesgos:

– Identificar los activos que están dentro del alcance del SGSI y a sus responsables directos, denominados propietarios;

– Identificar las amenazas en relación a los activos;

– Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas;

– Identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos.

Analizar y evaluar los riesgos:

– Evaluar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información;

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

– Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estén implementados;

– Estimar los niveles de riesgo;

– Determinar, según los criterios de aceptación de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado.

• Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:

– Aplicar controles adecuados;

– Aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y criterios establecidos para la aceptación de los riesgos;

– Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan;

– Transferir

el

riesgo

a

terceros,

proveedores de outsourcing.

p.

ej.,

compañías

aseguradoras

o

de outsourcing . p. ej., compañías aseguradoras o • Seleccionar los objetivos de control y los

• Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluación del riesgo.

• Aprobar por parte de la dirección tanto los riesgos residuales como la implantación y uso del SGSI.

• Definir una declaración de aplicabilidad que incluya:

– Los objetivos de control y controles seleccionados y los motivos para su elección;

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

– Los

objetivos

de

implantados;

control

y

controles

que

actualmente

ya

están

– Los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusión; este es un mecanismo que permite, además, detectar posibles omisiones involuntarias.

En relación a los controles de seguridad, el estándar ISO 27002 (antigua ISO 17799) proporciona una completa guía de implantación que contiene 133 controles, según 39 objetivos de control agrupados en 11 dominios. Esta norma es referenciada en ISO 27001, en su segunda cláusula, en términos de “documento indispensable para la aplicación de este documento” y deja abierta la posibilidad de incluir controles adicionales en el caso de que la guía no contemplase todas las necesidades particulares.

Do: Implementar y utilizar el SGSI

Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información.

Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignación de recursos, responsabilidades y prioridades.

Implementar los controles anteriormente seleccionados que lleven a los objetivos de control.

resultados

reproducibles y comparables para medir la eficacia de los controles o grupos de controles.

Definir

un

sistema

de

métricas

que

permita

obtener

• Procurar programas de formación y concienciación en relación a la seguridad de la información a todo el personal.

Gestionar las operaciones del SGSI.

• Gestionar

los

recursos

necesarios

asignados

al

SGSI

para

el

mantenimiento de la seguridad de la información.

• Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad.

Check: Monitorizar y revisar el SGSI

La organización deberá:

• Ejecutar procedimientos de monitorización y revisión para:

– Detectar

errores

procesamiento de la información;

a

tiempo

los

en

EDSEL ENRIQUE URUEÑA LEÓN

los

resultados

generados

por

el

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

– Identificar brechas e incidentes de seguridad;

– Ayudar a la dirección a determinar si las actividades desarrolladas por las personas y dispositivos tecnológicos para garantizar la seguridad de la información se desarrollan en relación a lo previsto;

– Detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores;

– Determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.

• Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la política y objetivos del SGSI, los resultados de auditorías de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas.

• Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad.

• Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organización, la tecnología, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior - requerimientos legales, obligaciones contractuales, etc.-.

Realizar

planificados.

periódicamente

auditorías

internas

del

SGSI

en

intervalos

Revisar el SGSI por parte de la dirección periódicamente para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes.

Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorización y revisión.

Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.

Act: Mantener y mejorar el SGSI

La organización deberá regularmente:

• Implantar en el SGSI las mejoras identificadas.

• Realizar las acciones preventivas y correctivas adecuadas en relación a la claúsula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones.

Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

• Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.

PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Téngase en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber actividades de implantación que ya se lleven a cabo cuando otras de planificación aún no han finalizado; o que se monitoricen controles que aún no están implantados en su totalidad.

¿Qué tareas tiene la Gerencia en un SGSI?

Uno de los componentes primordiales en la implantación exitosa de un Sistema de Gestión de Seguridad de la Información es la implicación de la dirección. No se trata de una expresión retórica, sino que debe asumirse desde un principio que un SGSI afecta fundamentalmente a la gestión del negocio y requiere, por tanto, de decisiones y acciones que sólo puede tomar la gerencia de la organización. No se debe caer en el error de considerar un SGSI una mera cuestión técnica o tecnológica relegada a niveles inferiores del organigrama; se están gestionando riesgos e impactos de negocio que son responsabilidad y decisión de la dirección.

El término Dirección debe contemplarse siempre desde el punto de vista del alcance del SGSI. Es decir, se refiere al nivel más alto de gerencia de la parte de la organización afectada por el SGSI (recuérdese que el alcance no tiene por qué ser toda la organización).

Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la dirección se detallan en los siguientes puntos:

Compromiso de la dirección

La dirección de la organización debe comprometerse con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI. Para ello, debe tomar las siguientes iniciativas:

• Establecer una política de seguridad de la información.

• Asegurarse de que se establecen objetivos y planes del SGSI.

• Establecer roles y responsabilidades de seguridad de la información.

• Comunicar a la organización tanto la importancia de lograr los objetivos de seguridad de la información y de cumplir con la política de seguridad, como sus responsabilidades legales y la necesidad de mejora continua.

• Asignar suficientes recursos al SGSI en todas sus fases.

• Decidir los criterios de aceptación de riesgos y sus correspondientes niveles.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

• Asegurar que se realizan auditorías internas.

• Realizar revisiones del SGSI, como se detalla más adelante.

Asignación de recursos

Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, es imprescindible la asignación de recursos. Es responsabilidad de la dirección garantizar que se asignan los suficientes para:

• Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI.

• Garantizar que los procedimientos de seguridad de la información apoyan los requerimientos de negocio.

• Identificar y tratar todos los requerimientos legales y normativos, así como las obligaciones contractuales de seguridad.

• Aplicar correctamente todos los controles implementados, manteniendo de esa forma la seguridad adecuada.

• Realizar revisiones cuando sea necesario y actuar adecuadamente según los resultados de las mismas.

• Mejorar la eficacia del SGSI donde sea necesario.

Formación y concienciación

La formación y la concienciación en seguridad de la información son elementos básicos para el éxito de un SGSI. Por ello, la dirección debe asegurar que todo el personal de la organización al que se le asignen responsabilidades definidas en el SGSI esté suficientemente capacitado. Se deberá:

• Determinar las competencias necesarias para el personal que realiza tareas en aplicación del SGSI.

• Satisfacer dichas necesidades por medio de formación o de otras acciones como, p. ej., contratación de personal ya formado.

• Evaluar la eficacia de las acciones realizadas.

• Mantener

registros

cualificación.

de

estudios,

formación,

habilidades,

experiencia

y

Además, la dirección debe asegurar que todo el personal relevante esté concienciado de la importancia de sus actividades de seguridad de la información y de cómo contribuye a la consecución de los objetivos del SGSI.

Revisión del SGSI

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

A la dirección de la organización se le asigna también la tarea de, al menos una vez al año, revisar el SGSI, para asegurar que continúe siendo adecuado y eficaz. Para ello, debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que se pueden enumerar:

• Resultados de auditorías y revisiones del SGSI.

• Observaciones de todas las partes interesadas.

• Técnicas, productos o procedimientos que pudieran ser útiles para mejorar el rendimiento y eficacia del SGSI.

• Información sobre el estado de acciones preventivas y correctivas.

• Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos anteriores.

• Resultados de las mediciones de eficacia.

• Estado de las acciones iniciadas a raíz de revisiones anteriores de la dirección.

• Cualquier cambio que pueda afectar al SGSI.

• Recomendaciones de mejora.

Basándose en todas estas informaciones, la dirección debe revisar el SGSI y tomar decisiones y acciones relativas a:

• Mejora de la eficacia del SGSI.

• Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.

• Modificación de los procedimientos y controles que afecten a la seguridad de la información, en respuesta a cambios internos o externos en los requisitos de negocio, requerimientos de seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios de aceptación de riesgos.

• Necesidades de recursos.

• Mejora de la forma de medir la efectividad de los controles.

¿Se integra un SGSI con otros sistemas de gestión?

Un SGSI es, en primera instancia, un sistema de gestión, es decir, una herramienta de la que dispone la gerencia para dirigir y controlar un determinado ámbito, en este caso, la seguridad de la información.

La gestión de las actividades de las organizaciones se realiza, cada vez con más frecuencia, según sistemas de gestión basados en estándares

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

internacionales: se gestiona la calidad según ISO 9001, el impacto medio- ambiental según ISO 14001 o la prevención de riesgos laborales según OHSAS 18001. Ahora, se añade ISO 27001 como estándar de gestión de seguridad de la información.

Las empresas tienen la posibilidad de implantar un número variable de estos sistemas de gestión para mejorar la organización y beneficios sin imponer una carga a la organización.

El objetivo último debería ser llegar a un único sistema de gestión que contemple todos los aspectos necesarios para la organización, basándose en el ciclo PDCA de mejora continua común a todos estos estándares. Las facilidades para la integración de las normas ISO son evidentes mediante la consulta de sus anexos.

ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre esta norma y la ISO 9001 e ISO 14001. Ahí se observa la alta correlación existente y se puede intuir la posibilidad de integrar el sistema de gestión de seguridad de la información en los sistemas de gestión existentes ya en la organización. Algunos puntos que suponen una novedad en ISO 27001 frente a otros estándares son la evaluación de riesgos y el establecimiento de una declaración de aplicabilidad (SOA), aunque ya se plantea incorporar éstos al resto de normas en un futuro.

En las secciones de Faqs y de Artículos del documento, podrá encontrar más informaciones acerca de la integración del SGSI con otros sistemas de gestión.

ISO 27000

La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Origen

Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como:

1979

Publicación BS 5750 - ahora ISO 9001

1992

Publicación BS 7750 - ahora ISO 14001

1996

Publicación BS 8800 - ahora OHSAS 18001

La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información.

La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente.

Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.

así como el año de publicación formal de la revisión. En Marzo de 2006, posteriormente a

En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

En la sección de Artículos y Podcasts encontrará un archivo gráfico y sonoro con la historia de ISO 27001 e ISO 17799.

La serie 27000

A semejanza de otras normas ISO, la 27000 es realmente una serie de

estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.

ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste.

ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. Otros países donde también está publicada en español son, por ejemplo, Colombia , Venezuela y Argentina. El original en inglés y la traducción al francés pueden adquirirse en ISO.org.

ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita). El original en inglés y su traducción al francés pueden adquirirse en ISO.org.

ISO 27003: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

ISO 27004: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. El conocimiento de los conceptos, modelos, procesos y términos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información. Su publicación revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en ISO.org.

ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en ISO.org.

ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI.

ISO 27011: En fase de desarrollo; su fecha prevista de publicación es Enero de 2008. Consistirá en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).

ISO 27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.

ISO 27032: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía relativa a la ciberseguridad.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. Provendrá de la revisión, ampliación y renumeración de ISO 18028.

ISO 27034: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía de seguridad en aplicaciones.

ISO 27799: Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de información personal de salud. ISO 27799:2008 se aplica a la información en salud en todos sus aspectos y en cualquiera de sus formas, toma la información (palabras y números, grabaciones sonoras, dibujos, vídeos y imágenes médicas), sea cual fuere el medio utilizado para almacenar (de impresión o de escritura en papel o electrónicos de almacenamiento ) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informáticas o por correo), ya que la información siempre debe estar adecuadamente protegida. El original en inglés o francés puede adquirirse en ISO.org.

Contenido

En esta sección se hace un breve resumen del contenido de las normas ISO 27001, ISO 27002, ISO 27006 e ISO 27799. Si desea acceder a las normas completas, debe saber que éstas no son de libre difusión sino que han de ser adquiridas.

Para los originales en inglés, puede hacerlo online en la tienda virtual de la propia organización:

http://www.iso.org/iso/en/prods-services/ISOstore/store.html

Las normas en español pueden adquirirse en España en AENOR (vea en la sección Serie 27000 cuáles están ya traducidas):

http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Las entidades de normalización responsables de la publicación y venta de normas en cada país hispanoamericano (es decir, las homólogas del AENOR español) las puede encontrar listadas en nuestra sección de Enlaces, bajo Acreditación y Normalización.

ISO 27001:2005

Introducción: generalidades e introducción al método PDCA.

 

Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones.

Normas para consulta: otras normas que sirven de referencia.

 

Términos y definiciones: breve descripción de los términos más usados en la norma.

Sistema de gestión de la seguridad de la información: cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la misma.

Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación del personal.

Auditorías internas del SGSI: cómo realizar las auditorías internas de control y cumplimiento.

Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de revisión del SGSI por parte de la dirección.

Mejora

del

SGSI:

mejora

continua,

acciones

correctivas

y

acciones

preventivas.

 

Objetivos de control y controles: anexo normativo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 27002:2005.

Relación con los Principios de la OCDE: anexo informativo con la correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE.

Correspondencia con otras normas: anexo informativo con una tabla de correspondencia de cláusulas con ISO 9001 e ISO 14001.

Bibliografía: normas y publicaciones de referencia.

 

ISO 27002:2005 (anterior ISO 17799:2005)

Introducción: conceptos generales de seguridad de la información y SGSI.

Campo de aplicación: se especifica el objetivo de la norma.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Términos y definiciones: breve descripción de los términos más usados en la norma.

Estructura del estándar: descripción de la estructura de la norma.

Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la información.

Política de seguridad: documento de política de seguridad y su gestión.

Aspectos organizativos de la seguridad de la información: organización interna; terceros.

Gestión de activos: responsabilidad sobre los activos; clasificación de la información.

Seguridad ligada a los recursos humanos: antes del empleo; durante el empleo; cese del empleo o cambio de puesto de trabajo.

Seguridad física y ambiental: áreas seguras; seguridad de los equipos.

Gestión de comunicaciones y operaciones: responsabilidades y procedimientos de operación; gestión de la provisión de servicios por terceros; planificación y aceptación del sistema; protección contra código malicioso y descargable; copias de seguridad; gestión de la seguridad de las redes; manipulación de los soportes; intercambio de información; servicios de comercio electrónico; supervisión.

Control de acceso: requisitos de negocio para el control de acceso; gestión de acceso de usuario; responsabilidades de usuario; control de acceso a la red; control de acceso al sistema operativo; control de acceso a las aplicaciones y a la información; ordenadores portátiles y teletrabajo.

Adquisición, desarrollo y mantenimiento de los sistemas de información: requisitos de seguridad de los sistemas de información; tratamiento correcto de las aplicaciones; controles criptográficos; seguridad de los archivos de sistema; seguridad en los procesos de desarrollo y soporte; gestión de la vulnerabilidad técnica.

Gestión de incidentes de seguridad de la información: notificación de eventos y puntos débiles de la seguridad de la información; gestión de incidentes de seguridad de la información y mejoras.

Gestión de la continuidad del negocio: aspectos de la seguridad de la información en la gestión de la continuidad del negocio.

Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las políticas y normas de seguridad y cumplimiento técnico; consideraciones sobre las auditorías de los sistemas de información.

Bibliografía: normas y publicaciones de referencia.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Puede descargarse una lista de todos los controles que contiene esta norma aquí: http://www.iso27000.es/download/ControlesISO27002-2005.pdf

ISO 27006:2007

(Esta norma referencia directamente a muchas cláusulas de ISO 17021 - requisitos de entidades de auditoría y certificación de sistemas de gestión-, por lo que es recomendable disponer también de dicha norma, que puede adquirirse en español en AENOR).

Preámbulo:

presentación

de

las

organizaciones

ISO

e

IEC

y

sus

actividades.

Introducción: antecedentes de ISO 27006 y guía de uso para la norma.

 

Campo de aplicación: a quién aplica este estándar.

 

Referencias normativas: otras normas que sirven de referencia.

 

Términos y definiciones: breve descripción de los términos más usados en la norma.

Principios: principios que rigen esta norma.

 

Requisitos generales: aspectos generales que deben cumplir las entidades de certificación de SGSIs.

Requisitos estructurales: estructura organizativa que deben tener las entidades de certificación de SGSIs.

Requisitos en cuanto a recursos: competencias requeridas para el personal de dirección, administración y auditoría de la entidad de certificación, así como para auditores externos, expertos técnicos externos y subcontratas.

Requisitos de información: información pública, documentos de certificación, relación de clientes certificados, referencias a la certificación y marcas, confidencialidad e intercambio de información entre la entidad de certificación y sus clientes.

Requisitos del proceso: requisitos generales del proceso de certificación, auditoría inicial y certificación, auditorías de seguimiento, recertificación, auditorías especiales, suspensión, retirada o modificación de alcance de la certificación, apelaciones, reclamaciones y registros de solicitantes y clientes.

Requisitos del sistema de gestión de entidades de certificación:

opciones, opción 1 (requisitos del sistema de gestión de acuerdo con ISO 9001) y opción 2 (requisitos del sistema de gestión general).

Anexo A - Análisis de la complejidad de la organización de un cliente y aspectos específicos del sector: potencial de riesgo de la organización

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

(tabla orientativa) y categorías de riesgo de la seguridad de la información específicas del sector de actividad.

Anexo B - Áreas de ejemplo de competencia del auditor:

consideraciones de competencia general y consideraciones de competencia específica (conocimiento de los controles del Anexo A de ISO 27001:2005 y conocimientos sobre SGSIs).

Anexo C - Tiempos de auditoría: introducción, procedimiento para determinar la duración de la auditoría y tabla de tiempos de auditoría (incluyendo comparativa con tiempos de auditoría de sistemas de calidad - ISO 9001- y medioambientales -ISO 14001-).

Anexo D - Guía para la revisión de controles implantados del Anexo A de ISO 27001:2005: tabla de apoyo para el auditor sobre cómo auditar los controles, sean organizativos o técnicos.

ISO 27799:2008

Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma.

• Alcance

• Referencias (Normativas)

• Terminología

• Simbología

• Seguridad de la información sanitaria (Objetivos; Seguridad en el

gobierno de la información; Infomación sanitara a proteger; Amenazas y vulnerabilidades)

• Plan de acción práctico para implantar ISO 17799/27002 (Taxonomía;

Acuerdo de la dirección; establecimiento, operación, mantenimiento y

mejora de un SGSI; Planning; Doing; Checking, Auditing)

• Implicaciones sanitarias de ISO 17799/27002 (Política de seguridad de la información; Organización; gestión de activos; RRHH; Físicos; Comunicaciones; Accesos; Adquisición; Gestión de Incidentes; Continuidad de negocio; Cumplimiento legal)

• Anexo A: Amenazas

• Anexo B: Tareas y documentación de un SGSI

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

• Anexo C: Beneficios potenciales y atributos de herramientas

• Anexo D: Estándares relacionados

Beneficios

Establecimiento de una metodología de gestión de la seguridad clara y estructurada.

Reducción del riesgo de pérdida, robo o corrupción de información.

 

Los clientes tienen acceso a la información a través medidas de seguridad.

Los riesgos y sus controles son continuamente revisados.

 

Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.

Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.

Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).

Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.

Conformidad

con

la

legislación

vigente

sobre

información

personal,

propiedad intelectual y otras.

 

Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.

Confianza y reglas claras para las personas de la organización.

 

Reducción de costes y mejora de los procesos y servicio.

Aumento de la motivación y satisfacción del personal.

 

Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.

¿Cómo adaptarse?

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI Arranque del proyecto • Compromiso

Arranque del proyecto

LA SEGURIDAD DE LA INFORMACIÓN - SGSI Arranque del proyecto • Compromiso de la Dirección: una

• Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. No sólo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciación que lleva consigo el proceso hacen necesario el impulso constante de la Dirección.

• Planificación, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

Planificación

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI • Definir alcance del SGSI:

• Definir alcance del SGSI: en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los límites del SGSI (el SGSI no tiene por qué abarcar toda la organización; de hecho, es recomendable empezar por un alcance limitado.

• Definir política de seguridad: que incluya el marco general y los objetivos de

seguridad de la información de la organización, tenga en cuenta los requisitos de negocio, legales y contractuales en cuanto a seguridad, esté alineada con

la gestión de riesgo general, establezca criterios de evaluación de riesgo y

sea aprobada por la Dirección. La política de seguridad es un documento

muy general, una especie de "declaración de intenciones" de la Dirección, por

lo que no pasará de dos o tres páginas.

• Definir el enfoque de evaluación de riesgos: definir una metodología de evaluación de riesgos apropiada para el SGSI y las necesidades de la organización, desarrollar criterios de aceptación de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologías de evaluación de riesgos aceptadas internacionalmente (ver sección de Herramientas); la organización puede optar por una de ellas, hacer una combinación de varias

o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones

adicionales sobre cómo definirla (en el futuro, ISO 27005 proporcionará ayuda en este sentido). El riesgo nunca es totalmente eliminable -ni sería rentable hacerlo-, por lo que es necesario definir una estrategia de aceptación de riesgo.

• Inventario de activos: todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI.

• Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Identificar

los

impactos:

los

que

podría

suponer

una

pérdida

de

la

confidencialidad, la integridad o la disponibilidad de cada uno de los activos.

Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en función de los niveles definidos previamente) o requiere tratamiento.

Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido (mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma consciente) o transferido (p. ej., con un seguro o un contrato de outsourcing).

Selección de controles: seleccionar controles para el tratamiento el riesgo en función de la evaluación anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en cuenta que las exclusiones habrán de ser justificadas) y otros controles adicionales si se consideran necesarios.

Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el SGSI: hay que recordar que los riesgos de seguridad de la información son riesgos de negocio y sólo la Dirección puede tomar decisiones sobre su aceptación o tratamiento. El riesgo residual es el que queda, aún después de haber aplicado controles (el "riesgo cero" no existe prácticamente en ningún caso).

Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razón de su selección, los controles actualmente implementados y la justificación de cualquier control del Anexo A excluido. Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.

Implementación

tomadas en cuanto al tratamiento del riesgo. Implementación • Definir plan de tratamiento de riesgos: que

• Definir plan de tratamiento de riesgos: que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control identificados.

Implementar los controles: todos los que se seleccionaron en la fase anterior.

Formación y concienciación: de todo el personal en lo relativo a la seguridad de la información.

Desarrollo

del

marco

normativo

necesario:

normas,

manuales,

procedimientos e instrucciones.

 

Gestionar las operaciones del SGSI y todos los recursos que se le asignen.

Implantar procedimientos y controles de detección y respuesta a incidentes de seguridad.

Seguimiento

y respuesta a incidentes de seguridad. Seguimiento • Ejecutar procedimientos y controles de monitorización y

• Ejecutar procedimientos y controles de monitorización y revisión: para detectar errores en resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si las actividades de seguridad de la información están desarrollándose como estaba planificado, detectar y prevenir incidentes de seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para resolver incidentes de seguridad han sido eficaces.

• Revisar regularmente la eficacia del SGSI: en función de los resultados de auditorías de seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los interesados.

• Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad.

• Revisar regularmente la evaluación de riesgos: los cambios en la organización, tecnología, procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

• Realizar regularmente auditorías internas: para determinar si los controles, procesos y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de seguridad de la organización, están implementados y mantenidos con eficacia y tienen el rendimiento esperado.

• Revisar regularmente el SGSI por parte de la Dirección: para determinar si el alcance definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la política de seguridad o a los objetivos de seguridad de la información.

• Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorización y las revisiones.

• Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.

Mejora continua

con los requisitos y uso eficaz del SGSI. Mejora continua • Implantar mejoras: poner en marcha

Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase anterior.

Acciones correctivas: para solucionar no conformidades detectadas.

Acciones preventivas: para prevenir potenciales no conformidades.

Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle.

Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier acción, medida o cambio debe comprobarse siempre.

Aspectos Clave

Fundamentales

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

• Compromiso y apoyo de la Dirección de la organización.

• Definición clara de un alcance apropiado.

• Concienciación y formación del personal.

• Evaluación de riesgos exhaustiva y adecuada a la organización.

• Compromiso de mejora continua.

• Establecimiento de políticas y normas.

• Organización y comunicación.

• Integración del SGSI en la organización.

Factores de éxito

• La concienciación del empleado por la seguridad. Principal objetivo a conseguir.

• Realización de comités de dirección con descubrimiento continuo de no conformidades o acciones de mejora.

• Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados).

• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.

• La seguridad no es un producto, es un proceso.

• La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito.

• La seguridad debe ser inherente a los procesos de información y del negocio.

Riesgos

Exceso

de

tiempos

de

implantación:

con

los

consecuentes

costes

descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc.

Temor ante el cambio: resistencia de las personas.

 

Discrepancias en los comités de dirección.

 

Delegación de todas las responsabilidades en departamentos técnicos.

 

No asumir que la seguridad de la información es inherente a los procesos de negocio.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

• Planes de formación y concienciación inadecuados.

• Calendario de revisiones que no se puedan cumplir.

• Definición poco clara del alcance.

• Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo.

• Falta de comunicación de los progresos al personal de la organización.

Consejos básicos

• Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de trabajo, un proceso de negocio clave, un único centro de proceso de datos o un área sensible concreta; una vez conseguido el éxito y observados los beneficios, ampliar gradualmente el alcance en sucesivas fases.

• Comprender en detalle el proceso de implantación: iniciarlo en base a cuestiones exclusivamente técnicas es un error frecuente que rápidamente sobrecarga de problemas la implantación; adquirir experiencia de otras implantaciones, asistir a cursos de formación o contar con asesoramiento de consultores externos especializados.

• Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.

• La autoridad y compromiso decidido de la Dirección de la empresa -incluso si al inicio el alcance se restringe a un alcance reducido- evitarán un muro de excusas para desarrollar las buenas prácticas, además de ser uno de los puntos fundamentales de la norma.

• La certificación como objetivo: aunque se puede alcanzar la conformidad con la norma sin certificarse, la certificación por un tercero asegura un mejor enfoque, un objetivo más claro y tangible y, por lo tanto, mejores opciones de alcanzar el éxito.

• No reinventar la rueda: aunque el objetivo sea ISO 27001, es bueno obtener información relativa a la gestión de la seguridad de la información de otros métodos y marcos reconocidos.

• Servirse de lo ya implementado: otros estándares como ISO 9001 son útiles como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a auditores internos y responsables de otros sistemas de gestión.

• Reservar la dedicación necesaria diaria o semanal: el personal involucrado en el proyecto debe ser capaz de trabajar con continuidad en el proyecto.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Registrar evidencias: deben recogerse evidencias al menos tres meses antes del intento de certificación para demostrar que el SGSI funciona adecuadamente. Otros Estándares

Las normas publicadas bajo la serie ISO 27000 son estándares alineados con el conjunto de normas publicadas por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) actuales o futuras y que son desarrolladas mediante comités técnicos específicos.

Aquellas organizaciones que ya empleen algún estándar o conjunto de buenas prácticas en seguridad de la información en base a otros modelos de gestión, obtendrán el beneficio de una adaptación y certificación en la norma ISO 27001 con un menor esfuerzo.

En relación a la seguridad de la información, gestión del riesgo, continuidad de negocio y materias relacionadas, se incluye a continuación una selección de los estándares y métodos de referencia más conocidos y relevantes.

Además de los aquí resumidos, existen muchos otros estándares, guías, metodologías y buenas prácticas dedicados a distintos aspectos de la seguridad de la información, publicados por prestigiosas instituciones en todo el mundo.

Normas ISO del SC27

ISO es la Organización Internacional para la Estandarización, creada en Febrero de 1947 y con sede en Ginebra, que cuenta con la representación de 153 países con el objetivo de lograr la coordinación internacional y la unificación de estándares en la industria.instituciones en todo el mundo. Normas ISO del SC27 ISO (International Organization for Standardization) e IEC

ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) han establecido un comité técnico conjunto específico para las Tecnologías de la Información denominado JTCI (Joint Technical Committee).

Dentro de dicho comité, el subcomité SC27 es el encargado del desarrollo de proyectos en técnicas de seguridad, labor que realiza a través de cinco grupos de trabajo (WG1, WG2, WG3, WG4 y WG5). Dispone de una página web (www.jtc1sc27.din.de/en ) donde se puede acceder a información sobre su ámbito, organización, agenda de reuniones www.jtc1sc27.din.de/en) donde se puede acceder a información sobre su ámbito, organización, agenda de reuniones y temas de trabajo.

Cada país miembro establece subcomités espejo que coordinan los trabajos a nivel nacional. En España, es AENOR quien tiene dicha responsabilidad. Lo hace a través del subcomité AEN/CTN 71/SC "Técnicas de Seguridad - Tecnología de la Información" y de sus correspondientes grupos de trabajo GT1, GT2, GT3, GT4 y GT5.

El Ministerio de Administraciones Públicas español ofrece en su página web una información detallada sobre todos estos aspectos, en especial de las aportaciones españolas realizadas a través del GT1.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

ISO JTC1 / SC27 / WG1: Sistemas de gestión de seguridad de la información - SGSI.

Las actividades de este grupo de trabajo incluyen:

• Desarrollo y mantenimiento de la familia de normas ISO/IEC 27000.

• Identificación de requisitos para futuros estándares y directrices relativas a los SGSI.

• Colaboración con otros grupos de trabajo del SC27, en particular con el WG4 en cuanto a estándares relativos a la implementación de objetivos de control y controles definidos en ISO/IEC 27001.

• Contacto y colaboración con otros comités y organizaciones relacionadas con los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad), ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, OCDE, etc.

ISO JTC1 / SC27 / WG2: Mecanismos de seguridad y criptografía.

Las actividades de este grupo de trabajo incluyen:

• Identificación de las necesidades y los requisitos de técnicas y mecanismos de seguridad en sistemas y aplicaciones de TI.

• Desarrollo de terminología, modelos generales y estándares de dichas técnicas y mecanismos para su uso en servicios de seguridad.

• Tratamiento de todas las técnicas y mecanismos, sean criptográficos o no, que cubran aspectos como confidencialidad, autenticación, no repudio, gestión de claves, integridad, etc.

ISO JTC1 / SC27 / WG3: Criterios de evaluación de la seguridad.

Las actividades de este grupo de trabajo incluyen:

• Desarrollo de estándares de evaluación y certificación de la seguridad de sistemas, componentes y productos de tecnologías de la información.

• Tratamiento de los tres aspectos a considerar en este ámbito: criterios de evaluación, metodología de aplicación de dichos criterios y procedimientos administrativos para la evaluación, la certificación y los esquemas de acreditación.

de

• Coordinación

con

los

comités

ISO

responsables

de

estándares

comprobación y gestión de calidad para no duplicar esfuerzos.

ISO JTC1 / SC27 / WG4: servicios y controles de seguridad.

Las actividades de este grupo de trabajo incluyen:

• El desarrollo y mantenimiento de estándares y directrices relativas a servicios y aplicaciones que apoyen la implantación de objetivos de control y controles definidos en ISO/IEC 27001.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

• Identificación de requisitos y desarrollo de futuros estándares en áreas como continuidad de negocio, ciberseguridad, externalización (outsourcing), etc.

• Colaboración con otros grupos de trabajo del SC27, en particular con el

WG1.

• Contacto y colaboración con otros comités y organizaciones relacionadas con los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad), ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, OCDE, etc.

ISO JTC1 / SC27 / WG5: tecnologías de gestión de identidad y privacidad.

Las actividades de este grupo de trabajo incluyen:

• Desarrollo y mantenimiento de estándares y directrices relativos a los aspectos de seguridad de la gestión de identidad, biometría y protección de datos personales.

• Identificación de requisitos y desarrollo de futuros estándares en áreas como control de acceso basado en roles (RBAC), provisioning, identificadores, single sign-on, anonimato y credenciales, infraestructuras de privacidad, tecnologías para la mejora de la privacidad (PETs), técnicas de autenticación biométrica, protección de datos biométricos, etc.

• Colaboración con otros grupos de trabajo del SC27: WG1 en aspectos de gestión, WG2 en técnicas de seguridad y WG3 en evaluación.

• Contacto y colaboración con otros comités y organizaciones tales como ISO/IEC SC37 (biometría), ECRYPT, FIDIS, etc.

Puede obtenerse una lista actualizada de los estándares en vigor publicados por el subcomité 27 en el siguiente enlace.

Puede obtenerse una lista actualizada de los estándares en desarrollo del subcomité 27 en el siguiente enlace.

ISO/IEC 20000

Es el primer estándar internacional certificable para la gestión de servicios TI. Proviene del estándar británico BS 15000.

ISO 20000-1: especificaciones en las cuales se describe la adopción de un proceso de mejora integrado para el desempeño y gestión de los servicios acorde a los requisitos del negocio y del cliente. Este documento comprende 10 secciones: “Alcance”, “Términos y definiciones”, “Requisitos de un sistema de gestión”, “Planificación e implantación de la gestión de servicio”, “Planificación e implantación de servicios nuevos o modificados”, “Proceso de entrega de servicios”, “Procesos de relación”, “Procesos de resolución”, “Procesos de control” y “Procesos de liberación”.

ISO 20000-2: código de prácticas donde se describen las mejores prácticas para la gestión de los servicios y dentro del ámbito indicado por la norma ISO

20000-1.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI ISO 20000 incorpora el ciclo

ISO 20000 incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma predecesora BS 15000, fue inicialmente desarrollada para indicar las mejores prácticas contenidas dentro del marco ITIL. Por tanto, aunque ITIL no es de obligada aplicación para la implantación en la norma ISO 20000, sí suele ser una adecuada referencia para aquellas organizaciones que desean la implantación de éste norma mediante la introducción de un paso intermedio.

ITIL

“IT Infrastructure Library” (ITIL) es un conjunto de publicaciones para las mejores prácticas en la gestión de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de cada proveedor de servicios.

circunstancias y experiencia de cada proveedor de servicios. Fue integrada en las series BS 15000 (ISO

Fue integrada en las series BS 15000 (ISO 20000 desde Diciembre 2005) con el consenso de BSI, itSMF y OGC, con el propósito de que los dos conjuntos de publicaciones formen parte de la misma estructura lógica para mejor comprensión en su publicación y difusión.

ITIL sirve de base para el estándar ISO 20000 y consta de 7 bloques principales: “Managers Set”, “Service Support”, “Service Delivery”, “Software Support”, “Networks”, “Computer Operations” y “Environmental”:

Las áreas cubiertas por ITIL en cada documento publicado por la OGC son:

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

• Soporte al servicio: asegurar que el cliente (externo o interno) recibe adecuadamente un servicio, que es gestionado además de la mejor forma posible.

y

Entrega

del

servicio:

administración

de

los

servicios

de

soporte

mantenimiento que se prestan al cliente.

• Planificación de la implantación: determina las ventajas de implantar ITIL en una determinada organización.

• Administración de aplicaciones: conjunto de buenas prácticas para la gestión de todo el ciclo de vida de las aplicaciones, centrándose sobre todo en definición de requisitos e implementación de soluciones.

• Administración de la infraestructura de tecnologías de la información y comunicaciones: gestión de la administración de sistemas como máquinas, redes o sistemas operativos, entre otros.

• Administración de seguridad: proceso para la implantación de requerimientos de seguridad; relaciona las áreas ITIL de soporte y entrega de servicio.

• Administración de activos de software: pautas necesarias para la gestión del software adquirido y/o de desarrollo propio.

• Entrega de servicios desde un punto de vista de negocio: fidelización de clientes, servicios de externalización y gestión del cambio, entre otros.

NIST Serie 800

y gestión del cambio, entre otros. NIST Serie 800 El National Institute of Standards and Technology

El National Institute of Standards and Technology (NIST), fundado en 1901, es un organismo federal no regulador que forma parte de la Administración de Tecnología (Technology Administration) del Departamento de Comercio (Department of Commerce) de los EE.UU.

La misión del NIST consiste en elaborar y promover patrones de medición, normas y tecnología con el fin de incrementar la productividad, facilitar el comercio y mejorar la calidad de vida.

Distintos principios y prácticas en seguridad comunes y de aplicación tanto en agencias gubernamentales como en corporaciones privadas están recogidos en una larga lista de publicaciones identificadas bajo la Serie 800 y disponibles para su libre descarga.

Estas guías y directrices son documentos muy elaborados y de reconocido prestigio, que cubren múltiples aspectos relacionados con la seguridad de la información y que pueden servir de apoyo a la hora de desarrollar políticas, procedimientos y controles.

CobiT

El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administración, seguridad y aseguramiento TI. Como consecuencia de su rápida difusión internacional, ambas instituciones

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

disponen de una amplia gama de publicaciones y productos diseñados para apoyar una gestión efectiva de las TI en el ámbito de la empresa.

Uno de sus documentos más conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para tecnologías de la información y similares).

Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) y COSO, que incorpora aspectos fundamentales de otros estándares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por CobiT están más cerca de adaptarse y lograr la certificación en ISO 27001.

CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 34 procesos de TI. Cada proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos de control detallados, directrices de gestión y el modelo de madurez para el objetivo) que dan una visión completa de cómo controlar, gestionar y medir el proceso. Utiliza un ciclo de vida de tipo PDCA que lo integra en los procesos de negocio.

No existe un certificado en las prácticas indicadas por CobiT, aunque ISACA sí ofrece la posibilidad a título personal de obtener certificaciones como “Certified Information Systems Auditor” (CISA), “Certified Information Security Manager” (CISM) y "Certified in the Governance of Enterprise IT" CGEIT.

in the Governance of Enterprise IT" CGEIT . UNE 71502:2004 Norma española certificable, desarrollada en

UNE 71502:2004

Norma española certificable, desarrollada en base a BS7799-2:2002, que

establece las especificaciones para los sistemas de gestión de seguridad de la información. Guarda relación con UNE-ISO/IEC17799:2002 mediante su Anexo

A.

Elaborada por el comité técnico AEN/CTN 71 de la Tecnología de la Información, especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI dentro del contexto de los riesgos identificados por la organización.

Fue publicada en Febrero de 2004 ante la perspectiva de la publicación de la norma internacional para el 2008-2009. Sin embargo, la publicación anticipada de ISO 27001 en el año 2005 acortó la vigencia de la

Sin embargo, la publicación anticipada de ISO 27001 en el año 2005 acortó la vigencia de

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

norma española. Con la traducción al español de ISO 27001 y su publicación como UNE-ISO/IEC 27001, UNE 71502 quedará anulada el 31-12-2008.

Puede adquirirse en AENOR.

Normas para consulta:

UNE71501-1 IN – Parte 1: Conceptos y modelos para la seguridad TI

UNE71501-2 IN – Parte 2: Gestión y planificación de la seguridad TI

UNE71501-3 IN – Parte 3: Técnicas para la gestión de la seguridad TI

UNE-ISO/IEC 17799:2002 Código de buenas prácticas para la gestión de la seguridad de la información.

Aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por UNE 71502:2004 requieren de un esfuerzo mínimo para su reconocimiento internacional bajo la norma ISO 27001.

su reconocimiento internacional bajo la norma ISO 27001. Puede descargar esta tabla comparativa en formato .pdf

Puede descargar esta tabla comparativa en formato .pdf aquí.

BS 7799-3

BSI (British Standards Institution) publicó en 2006 la tercera parte de BS 7799, dedicada a la gestión de riesgos de seguridad de la información.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

ISO 27001 (evolucionada a partir de BS 7799-2) indica que las organizaciones deben identificar, evaluar, tratar y gestionar los riesgos de seguridad de la información, pero no da indicaciones más detalladas de cómo realizar dicho proceso ni de cómo situar dichos riesgos en el marco de los riesgos generales de la empresa.SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI BS7799-3 profundiza en estos aspectos

BS7799-3 profundiza en estos aspectos y da directrices sobre evaluación de riesgos, tratamiento de riesgos, toma de decisiones por parte de la Dirección, re-evaluación de riesgos, monitorización y revisión del perfil de riesgo, riesgos de seguridad de la información en el contexto del gobierno corporativo y conformidad con otros estándares y regulaciones sobre el riesgo.

PAS 99

BSI (British Standards Institution) publicó en 2006 el documento PAS 99 (PAS = Publicly Available Specification), que especifica los requisitos comunes de los sistemas de gestión y puede ser utilizado por las organizaciones como un marco de integración de sistemas.

Hoy en día, es bastante habitual que las organizaciones tengan implantados varios sistemas de gestión: calidad según ISO 9001, medio ambiente según ISO 14001, seguridad y salud laboral segúnorganizaciones como un marco de integración de sistemas. Todos estos sistemas tienen metodologías, procesos,

Todos estos

sistemas tienen metodologías, procesos, objetivos, documentación, etc., en común, lo que abre el camino a la integración de los mismos en un solo sistema de gestión, buscando sinergias, mejoras en la productividad, mayor

sencillez de uso y facilidad de implantación y mantenimiento.

PAS 99 da directrices sobre cómo abordar un proceso de integración de sistemas de gestión, teniendo en cuenta los seis requisitos comunes establecidos en la Guía ISO 72 y siguiendo el enfoque PDCA (Plan-Do-Check- Act). BSI pone a disposición otras publicaciones relacionadas con la integración de sistemas.

OHSAS 18001, seguridad de la información según ISO 27001

BS 25999

Cada vez resulta más importante para las empresas el disponer de planes de continuidad de negocio que minimicen la inactividad de la organización en caso de cualquier tipo de interrupción.

BSI (British Standards Institution) publicó en 2006 BS25999-1, que es un código de buenas prácticas dedicado a la gestión de la continuidad de negocio.

Con origen en PAS 56:2003, BS 25999-1 establece el proceso por el cual una organización puede desarrollar e implementar la continuidad de negocio, incluyendo una completa lista de controles basada en las mejores prácticas de BCM (Business Continuity Management). Está pensada para su uso por cualquier organización grande, mediana o pequeña, tanto del sector público como privado.

En 2007, fue publicada BS 25999-2, que especifica los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de negocio documentado en el

probar, mantener y mejorar un sistema de gestión de continuidad de negocio documentado en el EDSEL

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

contexto de la gestión global de riesgos de una organización. En base a esta norma pueden ser certificados los sistemas de gestión de continuidad de negocio.

BS 25777

BSI (British Standards Institution) publicó en 2006 un documento llamado PAS 77 (PAS = Publicly Available Specification), que es un código de buenas prácticas que establece un marco y da unas directrices generales para crear un plan de continuidad de servicios de tecnologías de la información. Desarrollado por BSI en conjunto con Adam Continuity, Dell Corporation, Unisys y SunGard, está orientado para organizaciones de todo tipo.

BSI tiene el objetivo de desarrollar este documento PAS como un estándar llamado BS 25777 a lo largo de 2008 y 2009.

Está previsto que en otoño de 2008 se publique BS 25777-1, que será un código de buenas prácticas sobre cómo abordar la gestión de la continuidad de servicios TI en una organización.

A finales de 2009, se publicará la segunda parte, BS 25777-2, que especificará

los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de servicios TI. En base a esta segunda parte, podrán ser auditados y certificados los sistemas de gestión de las organizaciones por entidades de certificación.

de las organizaciones por entidades de certificación. COSO-Enterprise Risk Management / SOX El Committee of

COSO-Enterprise Risk Management / SOX

El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido una definición común de controles internos, normas y criterios contra los cuales las empresas y organizaciones pueden evaluar sus sistemas de control.

COSO está patrocinado y financiado por cinco de las principales asociaciones

e institutos profesionales de contabilidad: American Institute of Certified Public

Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of Management Accountants (IMA).

El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de 1995 y COSO de 1992/94).

Existe una relación directa entre los objetivos que la entidad desea lograr y los componentes de la gestión de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relación se representa con una matriz tridimensional, en forma de cubo.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI Las cuatro categorías de objetivos

Las cuatro categorías de objetivos (estrategia, operaciones, información y conformidad) están representadas por columnas verticales, los ocho componentes lo están por filas horizontales y las unidades de la entidad, por la tercera dimensión del cubo.

Desde este enlace se puede acceder a la lista completa de publicaciones que incorpora.

Información adicional en el informe ejecutivo y marco general de la norma.

COSO se puede combinar con CobiT o con ITIL como modelo de control para procesos y gestión TI.

COSO está teniendo una difusión muy importante en relación a la conocida como Ley Sarbanes-Oxley. No se trata de un marco o estándar específico de seguridad de la información pero, por el impacto que está teniendo en muchas empresas y por sus implicaciones indirectas en la seguridad de la información, conviene mencionarlo en esta sección.

La Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para proteger a los inversores frente a una falsa presentación de la situación de las empresas. Entró en vigor el 30 de julio de 2002 y tiene validez tanto para empresas nacionales estadounidenses como para extranjeras que coticen en las bolsas de aquel país.

Además del registro en un servicio de inspección pública, SOX exige el establecimiento de un sistema de control interno para la elaboración de informes financieros. La ley requiere una mayor transparencia de información, amplía los deberes de publicación y formaliza los procesos que preceden a la elaboración de un informe de la empresa.

Es la ya famosa Sección 404 la que establece que la gerencia debe generar un informe anual de control interno, en el cual se confirme la responsabilidad de la dirección en la implantación y mantenimiento de unos procedimientos y una estructura de control interno adecuados para la información financiera. El marco más empleado por las empresas para cumplir con esta obligación es, precisamente, el de gestión del riesgo empresarial de COSO.

Este sistema de control tiene también un importante reflejo en el área de seguridad de la información. Uno de los marcos que más se utilizan para

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

implantar el sistema en esta área es CobiT. Más específicamente, ISACA ha publicado un documento de controles TI para Sarbanes-Oxley, basado en directrices de COSO, con referencias cruzadas a CobiT. Certificación

La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto quiere decir que la organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO 27001.

En las siguientes secciones, se abordan diferentes temas relacionados con la certificación.

Acceda directamente a cada una de ellas desde el menú del recuadro verde de la izquierda o descargue en pdf el documento completo.

Implantación del SGSI

Evidentemente, el paso previo a intentar la certificación es la implantación en la organización del sistema de gestión de seguridad de la información según ISO 27001. Este sistema deberá tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditoría para su primera certificación.

ISO 27001 exige que el SGSI contemple los siguientes puntos:

• Implicación de la Dirección.

• Alcance del SGSI y política de seguridad.

• Inventario de todos los activos de información.

• Metodología de evaluación del riesgo.

• Identificación de amenazas, vulnerabilidades e impactos.

• Análisis y evaluación de riesgos.

• Selección de controles para el tratamiento de riesgos.

• Aprobación por parte de la dirección del riesgo residual.

• Declaración de aplicabilidad.

• Plan de tratamiento de riesgos.

• Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo.

• Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo.

• Formación y concienciación en lo relativo a seguridad de la información a todo el personal.

• Monitorización constante y registro de todas las incidencias.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

• Realización de auditorías internas.

• Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance.

• Mejora continua del SGSI.

La documentación del SGSI deberá incluir:

• Política y objetivos de seguridad.

• Alcance del SGSI.

• Procedimientos y controles que apoyan el SGSI.

• Descripción de la metodología de evaluación del riesgo.

• Informe resultante de la evaluación del riesgo.

• Plan de tratamiento de riesgos.

• Procedimientos de planificación, manejo y control de los procesos de seguridad de la información y de medición de la eficacia de los controles.

• Registros.

• Declaración de aplicabilidad (SOA -Statement of Applicability-).

• Procedimiento de gestión de toda la documentación del SGSI.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI Hay una serie de controles

Hay una serie de controles clave que un auditor va a examinar siempre en profundidad:

• Política de seguridad.

• Asignación de responsabilidades de seguridad.

• Formación y capacitación para la seguridad.

• Registro de incidencias de seguridad.

• Gestión de continuidad del negocio.

• Protección de datos personales.

• Salvaguarda de registros de la organización.

• Derechos de propiedad intelectual.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO 14001…). La propia norma ISO 27001 incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentación necesaria, con objeto de facilitar la integración.

Es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico. En el caso ideal, es posible llegar a un solo sistema de gestión y control de la actividad de la organización, que se puede auditar en cada momento desde la perspectiva de la seguridad de la información, la calidad, el medio ambiente o cualquier otra.

Auditoría y certificación

Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma:

• Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por parte de la misma.

• Respuesta en forma de oferta por parte de la entidad certificadora.

• Compromiso.

• Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría.

• Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.

• Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se trata del análisis de la documentación por parte del Auditor Jefe y la preparación del informe de la documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 es de 6 meses.

• Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría.

• Certificación: en el caso de que se descubran durante la auditoría no conformidades graves, la organización deberá implantar acciones correctivas; una vez verificada dicha implantación o, directamente, en el caso de no haberse presentado no conformidades, el auditor podrá emitir un informe favorable y el SGSI de organización será certificado según ISO 27001.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

• Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua.

• Auditoría de re-certificación: cada tres años, es necesario superar una auditoría de certificación formal completa como la descrita.

de certificación formal completa como la descrita. Las organizaciones certificadas a nivel mundial en ISO 27001

Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente, en BS 7799-2) por entidades acreditadas figuran listadas en http://www.iso27001certificates.com. Para aquellas organizaciones que lo han autorizado, también está publicado el alcance de certificación.

Naturalmente, la organización que implanta un SGSI no tiene la obligación de certificarlo. Sin embargo, sí es recomendable ponerse como objetivo la certificación, porque supone la oportunidad de recibir la confirmación por parte

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

de un experto ajeno a la empresa de que se está gestionando correctamente la seguridad de la información, añade un factor de tensión y de concentración en una meta a todos los miembros del proyecto y de la organización en general y envía una señal al mercado de que la empresa en cuestión es confiable y es gestionada transparentemente.

La entidad de certificación

Las entidades de certificación son organismos de evaluación de la conformidad, encargados de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos. En el caso de ISO 27001, certifican, mediante la auditoría, que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma.

Existen numerosas entidades de certificación en cada país, ya que se trata de una actividad empresarial privada con un gran auge en el último par de décadas, debido a la creciente estandarización y homologación de productos y sistemas en todo el mundo. La organización que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidiéndose por la más conveniente, como hace con cualquier otro producto o servicio.

Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditación, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificación para la actividad objeto de acreditación. En cada país suele haber una sola entidad de acreditación (en algunos, hay más de una), a la que la Administración encarga esa tarea. En España, es ENAC (Entidad Nacional de Acreditación); para otros países, puede consultarse una lista.

La acreditación de entidades de certificación para ISO 27001 o para BS 7799-2 -antes de derogarse- suele hacerse en base al documento EA 7/03 "Directrices

acreditación de organismos operando programas de

certificación/registro de sistemas de gestión de seguridad en la información". En el futuro, será la norma ISO 27006 la que regule directamente estas cuestiones.

para

la

Las entidades de acreditación establecen acuerdos internacionales para

facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones como IAF

(International

Accreditation

Forum)

o

EA

(European

co-operation

for

Accreditation).

El auditor

El auditor es la persona que comprueba que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma. En general, se distinguen tres clases de auditores:

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

• De primera parte: auditor interno que audita la organización en nombre de sí misma, normalmente, como mantenimiento del sistema de gestión y como preparación a la auditoría de certificación;

• De segunda parte: auditor de cliente, es decir, que audita una organización en nombre de un cliente de la misma; por ejemplo, una empresa que audita a su proveedor de outsourcing;

• De tercera parte: auditor independiente, que audita una organización como tercera parte imparcial; normalmente, porque la organización tiene la intención de lograr la certificación y contrata para ello los servicios de una entidad de certificación.

El auditor, sobre todo si actúa como de tercera parte, ha de disponer también de una certificación personal. Esto quiere decir que, nuevamente un tercero, certifica que posee las competencias profesionales y personales necesarias para desempeñar la labor de auditoría de la materia para la que está certificado.

En este punto, hay pequeñas diferencias entre las entidades certificadoras, que pueden formular requisitos distintos para homologar a sus auditores. Pero, en general, la certificación de auditores se ciñe a la norma ISO 19011 de directrices para la auditoría de sistemas de gestión, que dedica su punto 7 a la competencia y evaluación de los auditores. Al auditor se le exigen una serie de atributos personales, conocimientos y habilidades, educación formal, experiencia laboral y formación como auditor.

Existen diversas organizaciones internacionales de certificación de auditores, con el objeto de facilitar la estandarización de requerimientos y garantizar un alto nivel de profesionalidad de los auditores, además de homologar a las instituciones que ofrecen cursos de formación de auditor. Algunas de estas organizaciones son IRCA, RABQSA o IATCA.

IRCA (International Register of Certificated Auditors) es el mayor organismo mundial de certificación de auditores de sistemas de gestión. Tiene su sede en el Reino Unido y, por ello -debido al origen inglés de la norma BS 7799-2 y, por tanto, de ISO 27001-, tiene ya desde hace años un programa de certificación de auditores de sistemas de gestión de seguridad de la información. Su página web, también en español, es una buena fuente de consulta de los requisitos y los grados de auditor. Dispone de un enlace directo a las últimas novedades del IRCA desde nuestra sección de boletines.

En cuanto a la práctica de la auditoría, al auditor se le exige que se muestre ético, con mentalidad abierta, diplomático, observador, perceptivo, versátil, tenaz, decidido y seguro de sí mismo. Estas actitudes son las que deberían crear un clima de confianza y colaboración entre auditor y auditado. El auditado debe tomar el proceso de auditoría siempre desde un punto de vista constructivo y de mejora continua, y no de fiscalización de sus actividades. Para ello, el auditor debe fomentar en todo momento un ambiente de tranquilidad, colaboración, información y trabajo conjunto. Herramientas

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Esta sección incluye enlaces a diferentes herramientas y recursos relacionados con sistemas de gestión de seguridad de la información. Una parte de estas herramientas son gratuitas.

Navegue a través del submenú lateral por los distintos apartados.

Normas, guías y buenas prácticas generales

www.iso27001certificates.com

Base de datos con todas las empresas certificadas en BS7799-2 e ISO

27001.

www.iso.org/

Normas ISO de descarga gratuita relativas a tecnologías de la información.

www.aenor.es/

Compra de normas UNE / ISO.

www.iso27000.es/download/ControlesISO27002-2005.pdf

Lista en español de los controles de ISO 27002:2005.

www.ongei.gob.pe/bancos/banco_normas/archivos/P01-PCM-ISO17799-001-

V2.pdf

Norma Técnica Peruana NTP-ISO/IEC 17799:2007, traducción al español de ISO/IEC 27002:2005.

www.bsi-global.com/en/Shop/ Compra de normas de la "British Standards Institution".

www.oecd.org/dataoecd/15/29/34912912.pdf

Directrices de la OCDE para la seguridad de sistemas y redes de información: hacia una cultura de seguridad. En español.

www.ism3.com

ISM3 (ISM Cubo) es un estándar de madurez de seguridad de la información compatible con la implantación de ISO 27001, CobiT, ITIL e ISO 9001, desarrollado por el español Vicente Aceituno.

www.bsi.de/english/gshb/guidelines/guidelines.pdf Guía en inglés de buenas prácticas de seguridad de la información del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania.

www.bsi.de/english/gshb/manual/index.htm "IT-Grundschutz", manual de más de 2.300 páginas sobre gestión de seguridad de la información editado por el "Bundesamt für Sicherheit in der

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Informationstechnik" de Alemania. Armonizado con ISO 27001, entre otras normas.

www.bsi.de/english/

Estándar de requerimientos generales de un SGSI según el "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. Armonizado con ISO 27001, entre otras normas.

www.bsi.de/english/

Metodología de gestión de seguridad de la información del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. Armonizada con ISO 27001, entre otras normas.

www.dsd.gov.au/library/infosec/acsi33.html

Manual de seguridad TIC en inglés del gobierno australiano (ACSI 33).

www.isfsecuritystandard.com Estándar de seguridad de la información del "Information Security Forum".

www.isaca.org/cobit CobiT (Control Objectives for Information and related Technology). Marco para el buen gobierno de las TI. Versiones en diversos idiomas, incluido español.

www.isaca.org/

Guía de alineamiento de CobiT, ITIL e ISO 17799.

www.isaca.org/

Guía de alineamiento de CobiT con múltiples estándares.

www.isecom.org/osstmm OSSTMM (Open Source Security Testing Methodology Manual). También en español.

cordis.europa.eu/infosec/src/down.htm ITSEC (Information Technology Security Evaluation Criteria). Editado por la Comisión Europea.

cordis.europa.eu/infosec/src/down.htm ITSEM (Information Technology Security Evaluation Manual). Editado por la Comisión Europea.

www.tisn.gov.au/agd/

Manual de gestión de ataques DoS y DDoS del Trusted Information Sharing Network de Australia.

www.frc.org.uk/

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Turnbull Guidance del Financial Reporting Council.

www.theiia.org/guidance/technology/gait Guide to the Assessment of IT General Controls Scope Based on Risk (GAIT) del Institute of Internal Auditors. Metodología de evaluación de controles de tecnologías de la información. Sirve de apoyo para la implantación de Sarbanes-Oxley.

csrc.nist.gov/publications/CSD_DocsGuide.pdf Resumen de todas las guías publicadas por NIST (National Institute of Standards and Technology de EEUU).

csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf

Guía de métricas de seguridad. Publicada por NIST (National Institute of Standards and Technology de EEUU).

csrc.nist.gov/publications/drafts/draft-sp800-80-ipd.pdf

Borrador de la guía de desarrollo de métricas de seguridad. Publicada por NIST (National Institute of Standards and Technology) de EEUU.

www.iso27001security.com/ISO_27000_implementation_guidance_v1_Spanish

.rtf Versión en español de la guía de implantación y de métricas para cada objetivo de control de ISO 27002 publicada por el "ISO27k implementers’ forum".

www.infodev-security.net/handbook Manual de seguridad de las tecnologías de la información para países en vías de desarrollo del Banco Mundial.

www.isaca.org/Template.cfm

IT Control Objectives for Sarbanes-Oxley. Publicada por IT Governance Institute.

www.ncinfragard.org/pdf/

Guía de aseguramiento de activos críticos de información. Publicada por la Critical Infrastructure Assurance Office de EEUU.

www.fas.org/irp/offdocs/dcid6-9.pdf

Directiva de EEUU sobre seguridad física de edificios e instalaciones.

www.nsa.gov/snac/index.cfm?MenuID=scg10.3.1

Guías de configuración de seguridad de la National Security Agency de EEUU.

wiki.internet2.edu/

Guía de prácticas y soluciones de seguridad TI.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-

ES.pdf Guía en español de creación de un equipo de respuesta a incidentes de seguridad informática.

www.sans.org/reading_room/whitepapers/incident/1791.php

Propuesta de proceso de gestión de incidentes de seguridad para Pymes.

www2.norwich.edu/mkabay/infosecmgmt/csirtm.pdf

Cómo

informática.

gestionar

un

portal.aragob.es/pls

equipo

de

respuesta

a

incidentes

de

seguridad

Guía básica en español de seguridad para Pymes y autónomos (Gobierno de Aragón).

www.vdigitalrm.com/archivos/guia_seguridad_pymes.pdf Guía en español de gestión de la seguridad de la información para Pymes (Gobierno Región de Murcia).

www.sabsa-institute.org

SABSA,

corporativas.

una

metodología

de

desarrollo

de

arquitecturas

de

seguridad

pegasus.javeriana.edu.co/~regisegu/ Guía en español de una metodología para la gestión centralizada de registro de eventos de seguridad en Pymes.

www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030168495

PAS 99:2006, Especificación de los requisitos comunes del sistema de gestión como marco para la integración. Guía de BSI (British Standards Institution) en español de cómo integrar diversos sistemas de gestión.

www.treasury.nsw.gov.au/procurement/ict-map Mapa de procesos TIC con procedimientos documentados del gobierno de Nueva Gales del Sur.

www.gcio.nsw.gov.au/library/a-to-z Biblioteca de procedimientos documentados de procesos TIC del gobierno de Nueva Gales del Sur.

Herramientas para análisis de riesgos

www.enisa.europa.eu/rmra/rm_home.html Inventario de metodologías y herramientas de análisis y gestión de riesgos de ENISA (European Network and Information Security Agency). Incluye sistema de comparativas.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

www.enisa.europa.eu/rmra/

Guía de evaluación y gestión del riesgo para Pymes.

www.csi.map.es/csi/pg5m20.htm

MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), promovida por el Ministerio de Administraciones Públicas de España.

www.ar-tools.com EAR (Entorno de análisis de riesgos). Herramienta en español, basada en Magerit, no gratuita. Diseñada por José Antonio Mañas, redactor de Magerit.

www.ar-tools.com/pilar PILAR. Herramienta de análisis de riesgos, basada en Magerit, en español, exclusiva para las Administraciones Públicas españolas. Diseñada por José Antonio Mañas, redactor de Magerit.

www.sigea.es GxSGSI. Software de análisis de riesgos, en español, de la empresa SIGEA.

www.bsi-global.com/en/Shop

BS 7799-3:2006 es el estándar de gestión del riesgo de la seguridad de la información de la British Standards Institution.

www.saiglobal.com/shop/script/

AS/NZS 4360:2004 es el estándar australiano de gestión de riesgos de la seguridad de la información, de amplia difusión internacional.

www.ssi.gouv.fr/es/confianza/ebiospresentation.html EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité). Metodología de gestión de los riesgos de seguridad de sistemas de información desarrollada por la "Direction Centrale de la Sécurité des Systèmes d’Information" francesa. Disponible en español. Está acompañada por un software multilingüe -francés, inglés, alemán, español- con descargables para varias plataformas -Windows, Linux, Solaris-.

www.bsi.de/english/

Estándar de análisis de riesgos del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania.

www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES MEHARI (Méthode Harmonisée d'Analyse de Risques). Método de análisis y gestión del riesgo desarrollado por el Clusif (Club de la Sécurité des Systèmes d’Information Français).

www.cert.org/octave

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation). Metodología de evaluación de riesgos desarrollada por el Software Engineering Institute (SEI) de la Carnegie Mellon University. Incluye OCTAVE-S, una versión para pequeñas empresas (menos de 100 empleados).

oattool.aticorp.org/Tool_Info.html Octave Automated Tool es un software -no gratuito- que implementa la metodología de evaluación de riesgos OCTAVE.

www.cramm.com CRAMM (CCTA Risk Analysis and Management Method). Metodología y herramienta de análisis y gestión de riesgos desarrollada por la "Central Computer and Telecommunications Agency" del Reino Unido y gestionada por "Insight Consulting Limited" (Grupo Siemens). Existe en versión Expert y Express, incluye software y no es gratuita.

www.riskwatch.com/products/isa.asp RiskWatch es un software no gratuito de realización de análisis de riesgos.

www.securityforum.org/html/current_iram.htm IRAM (Information Risk Analysis Methodologies) es una metodología de análisis de riesgos del Information Security Forum sólo disponible para sus miembros.

www.securityforum.org/html/sample.htm#ira FIRM (Fundamental Information Risk Management) es una metodología de gestión de riesgos del Information Security Forum sólo disponible para sus miembros.

www.citicus.com/oursoftware_softwarecapabilities.asp Citicus ONE es un software comercial (disponible en varios idiomas, pero no en español) de gestión de riesgos de seguridad de la información, basado en la metodología FIRM.

csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

"Risk management guide for information technology systems". Publicada por NIST (National Institute of Standards and Technology) de EEUU.

www.cse-cst.gc.ca/publications/gov-pubs/itsg/itsg-e.html Guías en inglés de evaluación de riesgos de sistemas de información del "Canadian Government Communications Security Establishment". Documentos ITSG-04, MG-2, MG-3 y MG-4.

www.cse-cst.gc.ca/publications/gov-pubs/itsg/itsg-f.html Guías en francés de evaluación de riesgos de sistemas de información del "Canadian Government Communications Security Establishment". Documentos ITSG-04, MG-2, MG-3 y MG-4.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

www.rcmp-grc.gc.ca/tsb/pubs/it_sec/g2-001_e.pdf

Guía en inglés de evaluación de riesgos de la Policía de Canadá.

www.rcmp-grc.gc.ca/tsb/pubs/it_sec/g2-001_f.pdf

Guía en francés de evaluación de riesgos de la Policía de Canadá.

www.theirm.org/

Estándar de gestión del riesgo de IRM, AIRMIC y ALARM (en español).

www.microsoft.com/technet/security/guidance/complianceandpolicies/secrisk/de fault.mspx Security Risk Management Guide de Microsoft.

www.palisade-europe.com/risk/es @RISK, de Palisade, es un software general de análisis de riesgos. Existe versión en español y tiene coste.

www.riskworld.net COBRA (Consultative, Objective and Bi-functional Risk Analysis). Software - no gratuito- de evaluación del riesgo de "C&A Systems Security Ltd.".

www.aexis.de/RA2ToolPage.htm

RA2 art of risk. Software de análisis de riesgos y soporte de SGSI. No es gratuito.

www.njcu.edu/assoc/njcuitma/documents/addendums/

Ejemplo de análisis de impacto en el negocio realizado por Gartner.

www.sans.org/reading_room/whitepapers/auditing/1664.php

Whitepaper de SANS de alineación de gestión de riesgos con BS7799-3.

www.sans.org/reading_room/whitepapers/auditing/1204.php

Whitepaper de SANS sobre gestión del riesgo.

metal.hacktimes.com/files/Analisis-y-Modelado-de-Amenazas.pdf Introducción al análisis y modelado de amenazas.

www.asisonline.org/guidelines/guidelinesgsra.pdf Guía de evaluación de riesgos de seguridad de ASIS.

www.fdic.gov/news/news/financial/2004/FIL11404a.html

Directrices para la gestión del riesgo por uso de aplicaciones de software libre.

Herramientas para directivos y gerentes

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

www.dti.gov.uk/files/file9971.pdf

Guía del aseguramiento del negocio del "Department of Trade and Industry" del Reino Unido.

www.dti.gov.uk/files/file9972.pdf

Guía de seguridad de la información para directivos del "Department of Trade and Industry" del Reino Unido.

www.dti.gov.uk/files/file9981.pdf

Introducción a la seguridad de la información para directivos del "Department of Trade and Industry" del Reino Unido.

www.dti.gov.uk/files/file9977.pdf

Introducción a las principales amenazas de seguridad de la información para directivos de Pymes del "Department of Trade and Industry" del Reino Unido.

www.dti.gov.uk/files/file9973.pdf

Introducción a la gestión del riesgo de "The International Underwriting Association" del Reino Unido.

www.ssi.gouv.fr/es/confianza/tdbssi.html TDBSSI (Esquema Orientativo de la Seguridad de los Sistemas de Información). Herramienta de síntesis y de visualización para el seguimiento de las acciones vinculadas con la seguridad de la información, desarrollada por la "Direction Centrale de la Sécurité des Systèmes d’Information" francesa. Disponible en español.

csrc.nist.gov/publications/nistpubs/800-100/NIST-SP-800-100.zip

Guía de seguridad de la información para gerentes, del NIST (National Institute of Standards and Technology de EEUU).

www.cert.org/governance Governing for Enterprise Security, iniciativa del CERT de EEUU.

www.asisonline.org/guidelines/guidelineschief.pdf Guía del CSO (Chief Security Officer), publicada por ASIS.

Herramientas de auto-evaluación

autoevaluacion.forosec.com/forosec Herramienta de auto-evaluación online en español del estado de la seguridad informática en una organización. ForoSec, basándose en controles de la ISO17799, presenta al usuario un cuestionario sobre procedimientos y técnicas de seguridad de la información en su organización y, en función de las respuestas, ofrece un diagnóstico de la situación, una clasificación en tres niveles según el grado de conformidad con la norma y unas recomendaciones de actuación para cada una de las cuestiones.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

www.securityhealthcheck.dti.gov.uk Auto-evaluación online del estado de la seguridad de la información en una organización, por el "Department of Trade and Industry" del Reino Unido.

www.sans.org/score/ISO_17799checklist2.php

Cuestionario de auto-evaluación para la verificación del estado de los controles de ISO 17799:2005 del SANS Institute en formatos PDF y WORD.

www.snia.org/ssif/education/risk_assessment Auto-evaluación online como método de iniciación en conceptos y mejores prácticas de seguridad de la información del “Storage Security Industry Forum”.

www.educause.edu/ir/library/pdf/SEC0421.pdf

Auto-evaluación de seguridad de la información para Universidades.

www.bitsinfo.org/downloads/Publications

Herramienta de BITs para la evaluación del riesgo operacional de la seguridad de la información.

csrc.nist.gov/publications/nistir/ir7358/NISTIR-7358.pdf

Program Review for Information Security Management Assistance (PRISMA) del NIST de EEUU. Metodología de revisión del nivel de madurez de un plan de seguridad de la información.

www.csoonline.com/read/030104/workdanger_a.html

Auto-evaluación online que ayuda a evaluar el cumplimiento de escritorio despejado en una organización. Necesita de Flash Player 6.

www.interpol.int/Public/TechnologyCrime/CrimePrev/companyChecklist.asp Checklist sobre seguridad de la información de la INTERPOL.

Herramientas de implantación de SGSI

www.audisec.es Global SGSI es la herramienta de gestión de SGSIs de la consultora española Audisec. Cubre la evaluación de riesgos y las distintas etapas del ciclo de vida de un SGSI.

www.ecija.com/v1/images2005/SGSI.pdf

Écija SGSI es la herramienta de gestión de SGSIs de la consultora española Écija. Cubre la evaluación de riesgos y las distintas etapas del ciclo de vida de un SGSI.

isms.axur.net Axur ISMS es una herramienta de gestión de un SGSI, incluyendo evaluación de riesgos. Está disponible en inglés y, progresivamente, en otros idiomas.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

www.gammassl.co.uk/topics/ics/Brocv07forPDF.pdf

AWICMSM (Advanced Web-based Internal Control Management System Methodology), junto con la metodología "Fast Track ISMS", es la herramienta comercial de implantación de ISO 27001 de la consultora inglesa "Gamma Secure Systems Limited".

www.callio.com "Callio Secura 17799" es una herramienta software comercial para desarrollar, implantar, administrar y certificar un SGSI según las normas ISO 17799 / BS 7799 / UNE 71502.

www.infogov.co.uk/

Proteus es un software comercial que cubre todas las fases de implantación de un SGSI. Disponible en español.

www.isms.jipdec.jp/doc/JIP-ISMS114-10E.pdf

Guía de implantación de un SGSI en una organización médica.

www.atsec.com/downloads/pdf/iso-27001/ISMS-Implementation-Guide-and-

Examples.pdf Guía de implantación de un SGSI con consejos y ejemplos.

www.gcio.nsw.gov.au/documents/Information%20Security%20Guideline%20V1.

1.pdf

Guía de implantación de un SGSI con consejos y recomendaciones del gobierno de Nueva Gales del Sur.

www.is2me.org

Metodología en español de implantación de seguridad de la información en PyMEs.

csrc.nist.gov/publications/nistpubs/

Guía 800-53 de implantación de controles de seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU.

checklists.nist.gov/repository/category.html NIST Security Configuration Checklists Repository: un conjunto de listas de comprobación relativas a la seguridad en los más diversos sistemas informáticos.

www.iso27001security.com/ISO_27000_implementation_guidance_v1_Spanish

.rtf Versión en español de la guía de implantación y de métricas para cada objetivo de control de ISO 27002 publicada por el "ISO27k implementers’ forum".

docs.google.com/View?docid=dgc8zfmj_6c3vp4w

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Checklist

de

documentación

de

un

SGSI

publicada

por

el

"ISO27k

implementers’ forum".

 

www.iso.org/iso/iso_catalogue/

 

Documento

ISO/TC

176/SC

2/N544R2(r)

que

expone

el

enfoque

por

procesos.

Herramientas de implantación de políticas

www.ssi.gouv.fr/es/confianza/pssi.html La guía PSSI. Guía de redacción de políticas de seguridad de la información de la "Direction Centrale de la Sécurité des Systèmes d’Information" francesa. Disponible en español.

www.arcert.gov.ar/politica/modelo.htm Modelo de Política de Seguridad de la Información para la Administración de Argentina, basado en la norma ISO/IRAM 17799 (norma ISO 17799 homologada por IRAM, Instituto Argentino de Normalización).

www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_12A/gsp-psg_e.asp

Política de Seguridad del Gobierno de Canadá. En inglés.

www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_12A/gsp-psg_f.asp

Política de Seguridad del Gobierno de Canadá. En francés.

www.ccn.cni.es/series.html Los documentos CCN-STIC del Centro Criptológico Nacional español incluyen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los Sistemas de las TIC en la Administración.

www.ucisa.ac.uk/ist Toolkit de la "Universities and Colleges Information Systems Association" del Reino Unido para la generación de políticas de seguridad de la información basado en BS-7799:2002.

www.sans.org/resources/policies Conjunto de plantillas de políticas de seguridad del SANS Institute.

www.dti.gov.uk/files/file9985.pdf

Guía de protección de activos de información del "Department of Trade and Industry" del Reino Unido.

www.dti.gov.uk/files/file34331.pdf

Guía de creación de una política de seguridad del "Department of Trade and Industry" del Reino Unido.

www.dti.gov.uk/files/file9955.pdf

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Guía de tipos de políticas de seguridad de la información del "Department of Trade and Industry" del Reino Unido.

www.cccure.org/Documents/Security_Policy/pol_guidefinal.pdf Guía de creación de una política de seguridad.

csrc.nist.gov/publications/nistpubs/index.html Guías sobre distintos aspectos técnicos de la seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar políticas.

www.isaca.org/

Muchas

información son útiles también como apoyo para redactar políticas de seguridad.

de

de

las

directrices

de

ISACA

para

auditores

de

sistemas

www.noticebored.com/html/policy_manual.html Plantilla para manual de políticas de seguridad de la información basado en ISO 17799. No gratuito.

www.sans.org/reading_room/whitepapers/policyissues/1331.php

Guía de desarrollo de una política de seguridad de la información.

www.senado.es/legis8/publicaciones/pdf/senado/bocg/I0041.PDF

Normativa de uso de sistemas de información del Senado español.

Herramientas de concienciación y sensibilización

www.criptored.upm.es/guiateoria/gt_m142r.htm

"Concientización en seguridad de la información", una guía en español publicada por la Universidad de los Andes. [El término "concientización" se usa sobre todo en Hispanoamérica.]

www.enisa.europa.eu/

Guía de ENISA en español para la confección de un plan de concienciación en seguridad de la información.

www.enisa.europa.eu/

Guía de ENISA en inglés sobre planes de concienciación en seguridad y la medición de su eficacia.

www.cse-cst.gc.ca/tutorials/english/toc.htm Programa de formación de introducción a la seguridad de la información para técnicos de TI en inglés del Gobierno de Canadá.

www.cse-cst.gc.ca/tutorials/french/toc.htm

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Programa de formación de introducción a la seguridad de la información para técnicos de TI en francés del Gobierno de Canadá.

www.infosecuritylab.com/downloads.php Software de formación y concienciación en seguridad de la información. No gratuito.

www.noticebored.com/index.html Conjunto de herramientas y servicios de concienciación. No gratuito.

www.thesecurityawarenesscompany.com Conjunto de herramientas y servicios de concienciación. No gratuito.

www.ussecurityawareness.org Larga lista de enlaces a otras páginas relacionadas con concienciación y seguridad de la información en general.

www.educause.edu/content.asp?page_id=7103&bhcp=1

Videos de concienciación sobre seguridad informática.

csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-50.pdf

"Building an Information Technology Security Awareness and Training Program". Guía para generar un plan de concienciación y formación en seguridad de la información publicado por el NIST (National Institute of Standards and Technology) de EEUU.

csrc.nist.gov/publications/nistpubs/800-16/800-16.pdf

"Information Technology Security Training Requirements: A Role- and Performance-Based Model". Guía para un plan de formación basado en funciones y responsabilidades publicado por el NIST (National Institute of Standards and Technology) de EEUU. Va acompañado de 2 anexos:

AppendixA-D y Appendix_E.

Improving_Security_from_the_Inside_Out_NSI NSI (National Security Institute) contribuye con este documento que trata la concienciación interna en seguridad, que la dirección la compre, ir más allá de políticas, construcción de un comportamiento que se base en un modelo, entre otros.

www.microsoft.com/technet/security/understanding/awareness.mspx Material y guías de concienciación gratuitos en inglés de Microsoft (120 MB).

www.iwar.org.uk/comsec/resources/sa-tools/ Conjunto de documentos de concienciación en seguridad de la información.

www.iwar.org.uk/comsec/resources/ia-awareness-posters/ Posters de sensibilización en seguridad de la información.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

security.arizona.edu/presentations.html Conjunto de presentaciones en PowerPoint sobre concienciación en seguridad de la información de la Universidad de Arizona.

www.noticebored.com/html/7_steps.html

de

pasos

información.

7

para

diseñar

un

plan

sensibilización

www.bitsinfo.org/downloads/Publications

en

seguridad

de

la

BITs, consorcio sin ánimo de lucro formado por CEOs, cuyos miembros pertenecen a 100 de las mayores instituciones de EEUU. Consideraciones clave para la seguridad de los datos en su almacenamiento y transporte.

www.microsoft.com/downloads/

Guía de Microsoft de protección de la empresa frente a la ingeniería social.

www.commonwealthfilms.com Venta de vídeos de concienciación en seguridad de la información en inglés.

www2.norwich.edu/mkabay/infosecmgmt/videos/index.htm

Resúmenes de videos de "Commonwealth Films" sobre concienciación en seguridad de la información.

www.rcmp-grc.gc.ca/tsb/pubs/phys_sec/g1-030_e.htm

Guía en inglés de concienciación en seguridad de la Policía de Canadá.

www.rcmp-grc.gc.ca/tsb/pubs/phys_sec/g1-030_f.htm

Guía en francés de concienciación en seguridad de la Policía de Canadá.

www.infosecwriters.com/text_resources/pdf/Improving_Security_from_the_Insid e_Out_NSI.pdf Documento con recomendaciones para un plan de concienciación del National Security Institute de EEUU.

www.securitycartoon.com Una viñeta diaria orientada a la concienciación de usuarios en seguridad de la información.

Herramientas de auditoría

www.theiia.org/guidance/technology/gtag Global Technology Audit Guide (GTAG) del Institute of Internal Auditors. Una serie de guías para auditores de sistemas de información.

www.ffiec.gov/ffiecinfobase/index.html

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Guías de auditoría de sistemas de información del Federal Financial Institutions Examination Council de EEUU.

www.isaca.org/

Normas, directrices y procedimientos de ISACA para auditores de sistemas de información.

www.sans.org/score/checklists/ISO_17799_2005.doc

Checklist de auditoría de los controles del Anexo A de ISO 27001.

iase.disa.mil/stigs/checklist/index.html Checklists de seguridad de sistemas del Information Assurance Support Environment.

www.iso.org/tc176/ISO9001AuditingPracticesGroup

Guías de auditoría en inglés del ISO 9001 Auditing Practices Group.

www.inlac.org/documentos.html Traducción al español de las guías de auditoría en inglés del ISO 9001 Auditing Practices Group.

Herramientas de continuidad de negocio

www.bsi-global.com/

BS 25999-1: Estándar británico de buenas prácticas de gestión de continuidad de negocio.

www.bsi-global.com/

BS 25999-2: Estándar británico certificable que indica los requisitos para un sistema de gestión de continuidad de negocio.

www.thebci.org/gpgdownloadpage.htm Guía de buenas prácticas de gestión de continuidad de negocio de "The Business Continuity Institute".

www.thebci.org/10Standards.pdf

Buenas prácticas de gestión de continuidad de negocio de "The Business Continuity Institute".

www.singaporestandardseshop.sg/product/

Estándar SS507:2004 de Singapur sobre continuidad de negocio y recuperación de desastres.

www.dti.gov.uk/files/file9952.pdf

Introducción a la gestión de continuidad de negocio del "Department of Trade and Industry" del Reino Unido.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

csrc.nist.gov/publications/nistpubs/800-34/sp800-34.pdf

Guía para planes de contingencia de sistemas TI. Publicada por el NIST (National Institute of Standards and Technology) de EEUU.

www.drii.org/DRII/ProfessionalPractices/about_professional_detail.aspx Prácticas profesionales de continuidad de negocio del Disaster Recovery Institute International.

www.tisn.gov.au/agd/

Guía de continuidad de negocio para Pymes del gobierno australiano.

www.nfpa.org/assets/files/PDF/CodesStandards/1600-2007.pdf

Estándar de gestión de desastres y planes de continuidad de negocio de la National Fire Protection Association de EEUU.

www.ongei.gob.pe/seguridad/seguridad2_archivos/Lib5131/Libro.pdf

Guía Práctica para el Desarrollo de Planes de Contingencia de Sistemas de Información del Gobierno de Perú.

www.ibhs.org/business_protection/ofb_toolkit.asp Guía práctica de continuidad de negocio para Pymes del Institute for Business & Home Safety de EEUU.

www.asisonline.org/guidelines/guidelinesbc.pdf Guía de continuidad de negocio de ASIS.

www.ffiec.gov/ffiecinfobase/booklets/bcp/bus_continuity_plan.pdf Guía de evaluación de continuidad de negocio en instituciones financieras del FFIEC de EEUU.

www.avalution.com/PDF/How_to_Deploy_BS_25999.pdf

Guía de implantación de BS 25999 publicada por Avalution Consulting y BSI Americas.

www.redbooks.ibm.com/abstracts/sg246547.html?Open

IBM System Storage Business Continuity: Part 1 Planning Guide.

www.redbooks.ibm.com/abstracts/sg246548.html?Open

IBM System Storage Business Continuity: Part 2 Solutions Guide.

www.bis.org/publ/joint17.pdf

Principios de alto nivel de continuidad de negocio del Basel Committee on Banking Supervision.

www.sans.org/reading_room/whitepapers/recovery/1658.php

Cómo realizar un Business Impact Analysis (BIA).

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

www.continuitycentral.com/feature0501.htm

Checklist de continuidad de negocio para pequeñas empresas

www.office-shadow.com Office Shadow es un software comercial de planificación de la gestión de continuidad de negocio.

www.strohlsystems.com/Software/LDRPS/default.asp LDRPS es un software comercial de planificación de la gestión de continuidad de negocio.

www.businessprotection.com Business Protector Gateway: software comercial de planificación de la gestión de continuidad de negocio.

www.ebrp.net eBRP: software comercial de planificación de la gestión de continuidad de negocio.

www.contingenz.com IMCD: software comercial de planificación de la gestión de continuidad de negocio.

www.mcqsoft.com Software comercial de planificación de la gestión de continuidad de negocio.

www.coop-systems.com COOP: software comercial de planificación de la gestión de continuidad de negocio.

www.evergreen-data.com/mitigator.html Mitigator: software comercial de planificación de la gestión de continuidad de negocio.

www.drsbytamp.com TAMP: software comercial de planificación de la gestión de continuidad de negocio.

www.linusrevive.com Revive: software comercial de planificación de la gestión de continuidad de negocio.

www.cpa-ltd.com/products_rpwin.htm RecoveryPAC: software comercial de planificación de la gestión de continuidad de negocio.

www.cpacsweb.com/recpac.html

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Software comercial en varias versiones de planificación de la gestión de continuidad de negocio.

FAQs (Preguntas frecuentes):

Norma ISO 27001

¿Qué es ISO?

ISO (International Organization for Standardization) es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los institutos de normalización nacionales es diferente en los distintos países (público, privado…).

ISO desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores…) acerca de productos, tecnologías, métodos de gestión, etc. Estos estándares, por naturaleza, son de aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da autoridad legal para forzar su implantación. Sólo en aquellos casos en los que un país ha decidido adoptar un determinado estándar como parte de su legislación, puede convertirse en obligatorio.

ISO garantiza un marco de amplia aceptación mundial a través de los 3000 grupos técnicos y 50.000 expertos que colaboran en el desarrollo de normas.

¿Qué es un estándar?

Es una publicación que recoge el trabajo en común de los comités de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores y que contiene las especificaciones técnicas y mejores prácticas en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las necesidades demandadas por la sociedad y tecnología.

Los estándares ayudan a aumentar la fiabilidad y efectividad de materiales, productos, procesos o servicios que utilizan todas las partes interesadas (productores, vendedores, compradores, usuarios y reguladores).

En principio, son de uso voluntario, aunque la legislación y las reglamentaciones nacionales pueden hacer referencia a ellos.

¿Qué es AENOR y cuál es su relación con ISO?

AENOR es una entidad española de normalización y certificación en todos los sectores industriales y de servicios.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

En su vertiente de normalización, tiene encomendada esta tarea por la Administración española y es el representante de España en ISO.

En su vertiente de certificación, opera en el mercado como cualquier otra entidad privada de certificación y no tiene concedida ninguna exclusividad.

¿Qué es la norma ISO 27001?

Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa en un ciclo de vida PDCA (Plan- Do-Check-Act; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.).

Es un estándar certificable, es decir, cualquier organización que tenga implantado un SGSI según este modelo puede solicitar una auditoría externa por parte de una entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO 27001.

¿Cuál es el origen de ISO 27001?

Su origen está en la norma de BSI (British Standards Institution) BS7799-Parte 2, norma que fue publicada por primera vez en 1998 y ya era un estándar certificable desde entonces. Tras la adaptación pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005.

Puede consultar la historia de ISO 27001 en el archivo sonoro:

http://www.iso27000.es/download/HistoriaISO27001.pps

¿Qué tiene que ver ISO 27001 con ISO 27002 (anteriormente denominada

17799)?

ISO 27002 es un conjunto de buenas prácticas en seguridad de la información. Contiene 133 controles aplicables (en relación a la gestión de la continuidad de negocio, la gestión de incidentes de seguridad, control de accesos o regulación de las actividades del personal interno o externo, entre otros muchos), que ayudarán a la organización a implantar medidas que reduzcan sus riesgos en cuanto a seguridad de la información. Su origen está en la norma de BSI (British Standards Institution) BS7799-Parte 1, que fue publicada por primera vez en 1995. No es certificable.

ISO 27001 contiene un anexo A, que considera los controles de la norma ISO

27002 para su posible aplicación en el SGSI que implante cada organización

(justificando, en el documento denominado “Declaración de Aplicabilidad”, los

motivos de exclusión de aquellos que finalmente no sean necesarios). ISO

27002 es para ISO 27001, por tanto, una relación de controles necesarios para

garantizar la seguridad de la información.

A partir del 1 de Julio de 2007, ISO 17799:2005 pasó a denominarse ISO 27002:2005, cambiando únicamente su nomenclatura.

¿Puedo certificar mi empresa en ISO 27002?

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

ISO 27002 es un conjunto de buenas prácticas de seguridad de la información que describe 133 controles aplicables. No es certificable, al igual que su norma antecesora BS 7799-1, y la aplicación total o parcial en cada organización se realiza de forma totalmente libre y sin necesidad de una supervisión regular externa.

La norma que sí es certificable es ISO 27001, como también lo fue su antecesora BS 7799-2.

¿Qué es la serie ISO 27000?

ISO ha reservado la serie de numeración 27000 para las normas relacionadas con sistemas de gestión de seguridad de la información. En 2005 incluyó en ella la primera de la serie (ISO 27001). En próximos años está prevista la incorporación de nuevas normas que supongan un apoyo para las organizaciones que implanten y certifiquen un SGSI según ISO 27001.

Entre otras, serán 27000 (términos y definiciones), 27002 (objetivos de control y controles), 27003 (guía de implantación de un SGSI), 27004 (métricas y técnicas de medida de la efectividad de un SGSI), 27005 (guía para la gestión del riesgo de seguridad de la información) y 27006 (proceso de acreditación de entidades de certificación y el registro de SGSIs).

Por estar en continuo desarrollo y cambio, para estar al día, recomendamos la visita de nuestra sección http://www.iso27000.es/iso27000.html.

¿Qué aporta la ISO 27001 a la seguridad de la información de empresa?

Aplica una arquitectura de gestión de la seguridad que identifica y evalúa los riesgos que afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control y mejora continua.

Ayuda a la empresa a gestionar de una forma eficaz la seguridad de la información, evitando las inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una evaluación previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles desproporcionados y de un coste más elevado del necesario, por el retraso en las medidas de seguridad en relación a la dinámica de cambio interno de la propia organización y del entorno, por la falta de claridad en la asignación de funciones y responsabilidades sobre los activos de información, por la ausencia de procedimientos que garanticen la respuesta puntual y adecuada ante incidencias o la propia continuidad del negocio, etc.

una

¿ISO 27001 tiene que ver sólo con la seguridad informática de una empresa?

La información crítica de una empresa está presente en los sistemas informáticos, pero también en papel, en diferentes tipos de archivos y soportes, se transmite a terceros, se muestra en diversos formatos audiovisuales, se comparte en conversaciones telefónicas y reuniones y está presente en el propio conocimiento y experiencia de los trabajadores. ISO 27001 propone un marco de gestión de la seguridad de toda la información de la empresa.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

La presencia masiva de sistemas informáticos en el tratamiento de la información lleva a menudo a centrar la atención sólo en la informática, dejando así expuesta información esencial para las actividades del negocio.

La evaluación de riesgos previa a la implantación de controles debe partir de un análisis de los impactos que podría suponer para la organización la pérdida de la confidencialidad, la integridad o la disponibilidad de cualquier parte de su información. Esto es un estudio en términos de negocio, independiente del soporte de la información.

La aplicación posterior de controles considera temas como los aspectos organizativos, la clasificación de la información, la inclusión de la seguridad en las responsabilidades laborales, la formación en seguridad de la información, la conformidad con los requisitos legales o la seguridad física, además de controles propiamente técnicos.

¿Quién debe promover la implantación de ISO 27001 en la empresa?

La Dirección de la empresa debe liderar el proceso. Teniendo en cuenta que los riesgos que se intentan minimizar mediante un SGSI son, en primera instancia, riesgos para el negocio, es la Dirección quien debe tomar decisiones. Además, la implantación de ISO 27001 implicará cambios de mentalidad, de sensibilización, de procedimientos y tareas, etc., y la Dirección es la única que puede introducirlos en la organización.

Sin el apoyo decidido de la Dirección, según la propia ISO 27001 indica, no es posible la implantación ni la certificación de la norma en la empresa.

¿En qué términos entiende mejor la Dirección la importancia de ISO

27001?

La Dirección de la empresa conoce los riesgos del negocio, la tolerancia en su aceptación y las obligaciones con sus clientes y accionistas mejor que nadie.

Por tanto, los términos en que debe entender la Dirección la importancia de ISO 27001 son los de los riesgos asumibles, la continuidad de negocio y los costes de “no-seguridad”. La Dirección no tiene por qué verse confrontada con tecnologías y descripción de amenazas desde el punto de vista técnico.

¿Aporta un retorno de inversión la certificación en ISO 27001 de la empresa?

Como cualquier otro proyecto de la empresa, la certificación requiere de una inversión de mayor o menor importancia en función de las prácticas actuales en seguridad.

El retorno de la inversión es realmente efectivo en el tiempo, considerando, entre otras razones, que con ISO 27001:

• Se aprovecha el hecho comprobado de que el coste de la implementación de controles apropiados de seguridad puede ser hasta 7 veces menor cuando se consideran al principio del diseño e implantación de las soluciones de negocio.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

• Las inversiones en tecnología se ajustan a unas necesidades y prioridades conocidas de un entorno controlado. Se evitan compras innecesarias y sobredimensionadas o la necesidad inesperada de productos.

• Muchos errores se evitan gracias a los controles adoptados; los que se detectan regularmente se solucionan con medidas de coste razonable y sin causar daños, y los que finalmente se producen se solucionan y controlan mediante procedimientos establecidos.

• Se asegura la continuidad de negocio en el tiempo mínimo requerido ante cualquier incidencia, por grave que sea.

• Se evita la fuga de información esencial a competidores y medios públicos que pueda perjudicar el crecimiento, pérdida de competitividad y reputación de la empresa en el mercado en el que participa.

para el aprovechamiento de nuevas

Es

una

buena

herramienta

oportunidades de negocio.

• Se demuestra a clientes, proveedores, inversores, al mercado y a la sociedad en general un alto nivel de concienciación en la protección de la información y conformidad y cumplimento de la legalidad.

¿Qué tipo de empresas se están certificando en ISO 27001?

El estándar se puede adoptar por la mayoría de los sectores comerciales, industriales y de servicios de pequeñas, medianas o grandes entidades y organizaciones: finanzas, aseguradoras, telecomunicaciones, servicios públicos, minoristas, sectores de manufactura, industrias de servicios diversos, sector del transporte y gobiernos entre otros.

En la actualidad destaca su presencia en empresas dedicadas a servicios de tecnologías de la información, como prueba del compromiso con la seguridad de los datos de sus clientes.

¿Qué es la norma UNE 71502?

Es una norma española certificable de ámbito local que surgió como versión adaptada de BS7799-2 y que también guarda relación con UNE-ISO/IEC17799 mediante su Anexo A.

Publicada en Febrero de 2004 y elaborada por el comité técnico AEN/CTN 71 de la Tecnología de la Información, especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI dentro del contexto de los riesgos identificados por la organización.

¿Es mejor certificarse en ISO 27001 o en UNE 71502?

Ambas evolucionan desde el mismo estándar certificable BS7799-2 y la diferencia fundamental radica en el ámbito internacional de las normas ISO y el local -España- de la UNE 71502. Probablemente, a corto-medio plazo, las empresas certificadas en UNE 71502 pasarán a estarlo en ISO 27001, como estándar único e internacional de certificación.

¿Es ISO 27001 compatible con ISO 9001?

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

ISO 27001 ha sido redactada de forma análoga a otros estándares, como ISO 9001 (Calidad), ISO 14001 (Medio Ambiente) y OHSAS 18001 (prevención de riesgos), con el objetivo, entre otros, de facilitar a las organizaciones la integración de todos ellos en un solo sistema de gestión. La propia norma incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentación necesaria para facilitar la integración.

Es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico. En el caso ideal, es posible llegar a un solo sistema de gestión y control de la actividad de la organización, que se puede auditar en cada momento desde la perspectiva de la seguridad de la información, la calidad, el medio ambiente o cualquier otra.

Nuestra sección de Artículos (http://www.iso27000.es/articulos.html) contiene referencias específicas y experiencias sobre este tema.

¿Cómo se relaciona ISO 27001 con otros estándares de seguridad de la información?

Ciertamente, existen otros estándares relacionados con seguridad de la información (COBIT, COSO, NIST, ITIL, TickIT, etc.), que la enfocan desde diferentes puntos de vista como a controles de seguridad, buen gobierno, gestión de servicios TI, seguridad de producto…

La organización debería considerar cuál es la mejor opción en relación a sus necesidades.

Quiero implantar ISO 27001, ¿por dónde empiezo?

Si está planteándose abordar ISO 27001 en su organización, puede empezar por:

• Recopilar información en páginas web como esta que está visitando y asistir a eventos informativos.

• Comprar las normas ISO 27001 e ISO 27002 en los sitios oficiales; p. ej., ISO (http://www.iso.org), AENOR (http://www.aenor.es) en España, DGN

ICONTEC

(http://www.economia.gob.mx/index.jsp?P=85)

(http://www.icontec.org.co) en Colombia, INN (http://www3.inn.cl) en Chile,

IRAM (http://www.iram.com.ar/) en Argentina, etc. (lista completa en ISO).

en

México,

• Realizar un curso de formación, de los muchos que hay en el mercado, de introducción a la norma, a su implantación y su auditoría. En nuestra sección de Eventos podrá encontrar algunos (http://www.iso27000.es/eventos.html).

• Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con los controles de ISO 27002. Aunque no sea un análisis exhaustivo, proporciona una idea aproximada de la distancia que le separa de la conformidad con la norma y el camino que habrá que recorrer.

• En muchos casos, es necesario contratar los servicios de una empresa consultora especializada que le ayude algunas fases del proceso. Sin embargo, recuerde que las decisiones de negocio no deben ser trasladadas a nadie externo a la organización.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

• Deberá pasar por todas las tareas propias de implantación de un SGSI:

definición de política, determinación del alcance, análisis de riesgos, tratamiento de riesgos, etc. Las distintas secciones de nuestra web pueden aportarle puntual información.

• Paralelamente, formar y concienciar a todo el personal. En nuestra sección de Herramientas (http://www.iso27000.es/herramientas.html) encontrará informaciones útiles sobre planes de sensibilización.

• Una vez implantado el sistema y en funcionamiento, deberá recopilar evidencias al menos durante tres meses antes de pasar a la auditoría de certificación. Precisamente, son esas evidencias y registros históricos los que indican al auditor externo que el sistema de gestión funciona de manera adecuada.

• Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o varias entidades de certificación acreditadas para pedir formalmente la visita de auditoría (sus tarifas y oferta de servicios pueden diferir). Ofrecen, adicionalmente, un servicio añadido de “pre-auditoria” muy recomendable para afrontar con garantías una primera certificación en la

En nuestra sección de Certificación

norma.

(http://www.iso27000.es/certificacion.html) encontrará informaciones útiles.

SGSI

¿Qué es un SGSI?

Un SGSI es un Sistema de Gestión de la Seguridad de la Información. Esta gestión debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Podría considerarse, por analogía con una norma tan conocida como la ISO 9000, como el sistema de calidad para la seguridad de la información.

El propósito de un sistema de gestión de la seguridad de la información no es garantizar la seguridad –que nunca podrá ser absoluta- sino garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las tecnologías.

¿Qué es un ISMS?

Son las siglas en inglés (Information Security Management System) de SGSI (Sistema de Gestión de Seguridad de la Información).

¿En qué ayudan los sistemas de gestión en general?

Aseguran que una organización es dirigida de un modo eficiente y eficaz. Formalizan y sistematizan la gestión en procedimientos escritos, instrucciones, formularios y registros que aseguren la eficiencia de la organización y su mejora continua.

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

¿Qué información protege un SGSI?

Los activos de información de una organización, independientemente del soporte que se encuentren; p. ej., correos electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información confidencial de trabajadores y colaboradores

¿Qué es exactamente la seguridad de la información?

La seguridad de la información es la preservación de la confidencialidad, integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento dentro de una organización. Estos tres factores se definen como:

• Confidencialidad: acceso a la información por parte únicamente de quienes estén autorizados.

• Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

• Disponibilidad: acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran.

Tengo un firewall, actualizo regularmente el antivirus y realizo copias de backup. ¿Qué aporta un SGSI a mi empresa?

Estas medidas no son más que unos pocos controles técnicos que, por sí mismos, no significan que se esté gestionando la seguridad. Un SGSI implica que la organización ha estudiado los riesgos a los que está sometida toda su información, ha evaluado qué nivel de riesgo asume, ha implantado controles (no sólo tecnológicos, sino también organizativos) para aquellos riesgos que superan dicho nivel, ha documentado las políticas y procedimientos relacionados y ha entrado en un proceso continuo de revisión y mejora de todo el sistema.

El SGSI da así la garantía a la empresa de que los riesgos que afectan a su información son conocidos y gestionados. No se debe olvidar, por tanto, que no hay seguridad total sino seguridad gestionada.

¿Existe algún producto que cubra los principales aspectos de seguridad de la información?

No. Por influencia de la publicidad y las campañas de venta agresivas, es un error común pensar que el nivel de seguridad depende exclusivamente del presupuesto dedicado a la compra de productos relacionados.

La seguridad exige de un plan de gestión del riesgo continuado, políticas adecuadas a cada empresa y una seguridad establecida en base a múltiples y diferentes barreras. Siempre hay que recordar que la seguridad no es un producto sino un proceso.

Si la seguridad total no existe, ¿qué diferencia aporta un SGSI?

Un SGSI es el modo más eficaz de conseguir minimizar los riesgos, asegurar la continuidad adecuada de las actividades de negocio hasta en los casos más

EDSEL ENRIQUE URUEÑA LEÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

extremos y de adaptar la seguridad a los cambios continuos que se producen en la empresa y en su entorno. Aunque nunca logremos la seguridad total, nos acercamos a ella mediante una mejora continua. Es más apropiado hablar en términos de riesgo asumible en lugar de seguridad total, ya que no sería lógico que el gasto en seguridad sea mayor que los impactos potenciales de los riesgos que pretende evitar.

¿En qué consiste la gestión del riesgo y el ciclo de vida PDCA?

Mediante la gestión del riesgo se identifican, evalúan y corrigen a niveles razonables y asumibles en coste todos los riesgos en seguridad que podrían afectar a la información.

PDCA son las siglas en inglés del conocido como ciclo de Deming: Plan-Do- Check-Act (Planificar-Hacer-Verificar-Actuar).

En la fase PLAN se realiza la evaluación de las amenazas, riesgos e impactos. En la fase DO, se seleccionan e implementan los controles que reduzcan el riesgo a los niveles considerados como aceptables y en CHECK y ACT se cierra y reinicia el ciclo de vida con la recogida de evidencias y readaptación de los controles según los nuevos niveles obtenidos y requeridos.

Es un proceso cíclico sin fin que permite la mejor adaptación de la seguridad al cambio continuo que se produce en la empresa y su entorno.

Certificación

¿Por qué dentro de la serie es certificable únicamente la 27001?

Es la norma que define el modelo completo de gestión de seguridad de la información según ciclo PDCA aunque, para algunos procesos, se apoya en otras normas relacionas no certificables, como ISO 27002.

¿Quién certifica a mi empresa en ISO 27001?