ISO 27000-27001

FAMILIA DE ISO 27000

CONCEPTO. ISO/IEC 27000 es un conjunto de estndares desarrollados o en fase de desarrollo, por ISO (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION ) e IEC (INTERNATIONAL ELECTROTECHNICAL COMMISSION), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada. ORIGEN. Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (BRITISH STANDARDS INSTITUTION, la organizacin britnica equivalente a AENOR en Espaa) es responsable de la publicacin de importantes normas como:
1979. Publicacin BS 5750 - ahora ISO 9001 1992. Publicacin BS 7750 - ahora ISO 14001 1996. Publicacin BS 8800 - ahora OHSAS 18001 La norma BS 7799 de BSI apareci por primera vez en 1995, con objeto de proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la seguridad de su informacin. La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas, para la que no se estableca un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que estableci los requisitos de un sistema de seguridad de la informacin (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000. En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin. En 2005, con ms de 1700 empresas certificadas en BS 7799-2, este esquema se public por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO 17799. Esta ltima norma se renombr como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao de publicacin formal de la revisin.

SERIE ISO 27000 La ISO 27000 es realmente una serie de estndares desarrollados, por ISO (International
Organization for Standardization) e IEC (International Electrotechnical Commission) En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin (SGSI) basado en ISO 27001. Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044. Esta ISO Contiene trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario clarament definido, e que evite distintas interpretaciones de conceptos tcnicos y de gestin, que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea.

 !  # &            !   '   &               %    $ #  "!                                
ESTAN A E SEG I A ISO 27001 SISTEMA DE GESTION DE SEG IDAD DE LA IN ORMACION - REQUERIMIENTOS
s e c y ve e es ece Es e es e e e e ev s e e y ej Ss e e es e Se e c c e es e es se e e e c e e se e c e c ec s es c c ; se e e e e e S S se ex e c e e e e c s eces es e c El S S pue e se utilizado por e tidades internas y externas para evaluar la conformidad.

EN OQUE DEL PROCESO

Las organizaciones necesitan identificar y manejar muc as actividades para poder funcionar de manera eficiente. Las actividades que necesitan recurso y es manejada para la transformacin de insumos outputs es considerado como un proceso. El enfoque del proceso para la gestin de la seguridad de la informacin presentado en este estndar internacional fomenta que sus usuarios enfaticen la importancia de Entender los requerimientos de seguridad de la informacin de una organizacin y la necesidad de establecer una poltica y objetivos para la seguridad de la informacin. Implementar y operar controles para manejar los riesgos de la seguridad de la informacin. Monitorear y revisar el desempe o del S SI Mejoramiento continuo en base a la medicin del objetivo Este Estndar Internacional adopta el modelo del proceso (PDCA): Planear Hacer Chequear Actuar

Arranque del proyecto

Compromiso de la Direccin: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Direccin de la organizacin. No slo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciacin que lleva consigo el proceso hacen necesario el impulso constante de la Direccin. Planificacin, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

PLANIFICACION

Definir alcance del SGSI: en funcin de caractersticas del negocio, organizacin, localizacin, activos y tecnologa, definir el alcance y los lmites del SGSI (el SGSI no tiene por qu abarcar toda la organizacin de hecho, es recomendable empezar por un alcance limitado. Definir poltica de seguridad: que incluya el marco general y los objetivos de seguridad de la informacin de la organizacin, tenga en cuenta los requisitos de negocio, legales y contractuales en cuanto a seguridad, est alineada con la gestin de riesgo general, establezca criterios de evaluacin de riesgo y sea aprobada por la Direccin. La poltica de seguridad es un

documento muy general, una especie de "declaracin de intenciones" de la Direccin, por lo que no pasar de dos o tres pginas. Definir el enfoque de evaluacin de riesgos: definir una metodologa de evaluacin de riesgos apropiada para el SGSI y las necesidades de la organizacin, desarrollar criterios de aceptacin de riesgos y determinar el nivel de riesgo aceptable. E isten muchas metodologas de evaluacin de riesgos aceptadas internacionalmente la organizacin puede optar por una de ellas, hacer una combinacin de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones adicionales sobre cmo definirla (en el futuro, ISO 27005 proporcionar ayuda en este sentido). El riesgo nunca es totalmente eliminable -ni sera rentable hacerlo-, por lo que es necesario definir una estrategia de aceptacin de riesgo. Inventario de activos: todos aquellos activos de informacin que tienen algn valor para la organizacin y que quedan dentro del alcance del SGSI. Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario. Identificar los impactos: los que podra suponer una prdida de la confidencialidad, la integridad o la disponibilidad de cada uno de los activos. Anlisis y evaluacin de los riesgos: evaluar el dao resultante de un fallo de seguridad (es decir, que una amenaza e plote una vulnerabilidad) y la probabilidad de ocurrencia del fallo estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en funcin de los niveles definidos previamente) o requiere tratamiento. Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido (mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma consciente) o transferido (p. ej., con un seguro o un contrato de outsourcing). Seleccin de controles: seleccionar controles para el tratamiento el riesgo en funcin de la evaluacin anterior. Utilizar para ello los controles del Ane o A de ISO 27001 (teniendo en cuenta que las e clusiones habrn de ser justificadas) y otros controles adicionales si se consideran necesarios. Aprobacin por parte de la Direccin del riesgo residual y autorizacin de implantar el SGSI: hay que recordar que los riesgos de seguridad de la informacin son riesgos de negocio y slo la Direccin puede tomar decisiones sobre su aceptacin o tratamiento. El riesgo residual es el que queda, an despus de haber aplicado controles (el "riesgo cero" no e iste prcticamente en ningn caso). Confeccionar una Declaracin de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razn de su seleccin, los controles actualmente implementados y la justificacin de cualquier control del Ane o A e cluido. Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.

IM

SEGUIMIENTO (CHEQUEAR)

@ 87 765 9
M T

ION (HACER)

Definir plan de tratamiento de riesgos: que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin. Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control identificados. Implementar los controles: todos los que se seleccionaron en la fase anterior. Formacin y concienciacin: de todo el personal en lo relativo a la seguridad de la informacin. Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones. Gestionar las operaciones del SGSI y todos los recursos que se le asignen. Implantar procedimientos y controles de deteccin y respuesta a incidentes de seguridad.

Ejecutar procedimientos y controles de monitorizacin y revisin: para detectar errores en resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si las actividades de seguridad de la informacin estn desarroll ndose como estaba planificado, detectar y prevenir incidentes de seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para resolver incidentes de seguridad han sido eficaces.

Revisar regularmente la eficacia del SGSI: en funcin de los resultados de auditoras de seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los interesados. Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad. Revisar regularmente la evaluacin de riesgos: los cambios en la organizacin, tecnologa, procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado. Realizar regularmente auditoras internas: para determinar si los controles, procesos y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de seguridad de la organizacin, estn implementados y mantenidos con eficacia y tienen el rendimiento esperado. Revisar regularmente el SGSI por parte de la Direccin: para determinar si el alcance definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la poltica de seguridad o a los objetivos de seguridad de la informacin. Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorizacin y las revisiones. Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.

MEJORA CON INUA (AC UAR)

Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase anterior. Acciones correctivas: para solucionar no conformidades detectadas. Acciones preventivas: para prevenir potenciales no conformidades. Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle. Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier accin, medida o cambio debe comprobarse siempre.

MARCO ANALI ICO

ISO 27001 Un enfoque de procesos para la gestin de la seguridad de la informacin presentado en este Estndar Internacional facilita a los administradores tener una visin y control sobre: entender los requerimientos de seguridad de la informacin de una organizacin y la necesidad de establecer una poltica y objetivos para la seguridad de la informacin. implementar y operar controles para manejar los riesgos de la seguridad de la informacin. monitorear y revisar el desempeo y la efectividad del SGSI; y mejoramiento contino en base a la medicin del objetivo.

Entre otros beneficios de la ISO 27001 tenemos: La ISO 27001 es importante por que abarca a todos los tipos de organizaciones (comerciales, gubernamentales, organizaciones sin fines de lucro, etc.). Este estndar internacional adopta el modelo del proceso Planear-Hacer-Chequear-Actuar (PDCA), el cual se puede aplicar a todos los proceso SGSI. Nos da lineamientos acerca la importancia del mejoramiento del SGSI atreves de el mejoramiento continuo, Accin correctiva, Accin Preventiva. tambin proporciona una gua importante de los objetivos de control y controles, enfocados a poltica de seguridad de informacin, organizacin interna, entidades externas, gestin de activos entre otras; as tambin nos dan los fundamentos en los cuales tiene como base este estndar los cuales se encuentran en los principios y como estos debern ser de interpretados.

ISO 27002 Esta norma permite disear controles y evaluaciones de los riesgos a los que las entidades estn expuestas desde diferentes puntos de vista como: Entre las principales utilidades de esta norma tenemos: Legislativo. a) proteccin de data y privacidad de la informacin personal b) proteccin de los registros organizacionales c) derechos de propiedad intelectual

Los controles considerados prctica comn para la seguridad de la informacin incluyen: a) documento de la poltica de seguridad de la informacin b) asignacin de responsabilidades de la seguridad de la informacin c) conocimiento, educacin y capacitacin en seguridad de la informacin d) procesamiento correcto en las aplicaciones e) gestin de la vulnerabilidad tcnica f) gestin de la continuidad comercial g) gestin de los incidentes y mejoras de la seguridad de la informacin La ISO 27001 y 27002 establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestin de la seguridad de la informacin en una organizacin. Los objetivos delineados en este Estndar Internacional proporcionan un lineamiento general sobre los objetivos de gestin de seguridad de la informacin generalmente aceptados. Sirve como un lineamiento prctico para desarrollar estndares de seguridad organizacional y prcticas de gestin de seguridad efectivas y para ayudar a elaborar la confianza en las actividades inter organizacionales. Los requerimientos identificados por una evaluacin de los riesgos, sern la base para la elaboracin de los objetivos de control.