Universidad Politécnica Salesiana. Campaña Josué. ISO 27001.
1
TELCONET. Un modelo de caso de éxito en la implementación de ISO 27001 Campaña Ramírez Josué Daniel,
[email protected],
[email protected], Universidad Politécnica Salesiana, Facultad de Ingeniería en Sistemas
30/05/2014 Abstract — En En la actualidad existe una gran aumento de tecnología en información, cómo podemos notar existe una gran vulnerabilidad en la seguridad de la información es por eso que hay la norma ISO 27000 es una familia la cual se encarga del sistema sistema de gestión de Seguridad de la información y entrega certificación a las organizaciones de que la información, per de esta familia la más importante es la ISO 27001 que es la que pone la metodología que debe cumplir la organización para ser certificada. Telconet siendo una empresa que brinda servicio de internet es la primera empresa en el Ecuador certificada en la ISO 27001, es por esto que se le analiza cómo caso de éxito ya que para certificarse tuvo que realizar un proceso muy largo. Keyword- SGSI SGSI Sistema de Gestión de la Seguridad.
adaptación, crecimiento y tecnología. Equilibrar estos y otros requisitos empresariales puede constituir un proceso difícil y desalentador. Es aquí donde entran en juego los sistemas de gestión, al permitir aprovechar y desarrollar el potencial existente en la organización. La implementación de un sistema de gestión eficaz puede ayudar a: •Gestionar los riesgos sociales, medioambientales y financieros. •Mejorar la efectividad operativa. •Reducir costos. •Aumentar la satisfacción de clientes y partes interesadas. •Proteger la marca y la reputación. •Lograr mejoras continuas. •Potenciar la innovación. •Eliminar las barreras al comercio. •Aportar claridad al mercado. [1]
I. INTRODUCCION
La información información es un activo que como como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad que a su vez haga una evaluación de los riesgos a los que está sometida la información de la organización. ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO e IEC, que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. A continuación se resumen las características del estándar ISO/IEC 27001 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001. II. METODOLOGIA
es un Sistema de Gesti Gesti ón de M ejor a Cont in ua? A.- ¿Qué
Según el British Standard Institute es una estructura probada para la gestión y mejora continua de las políticas, los procedimientos y procesos de la organización. Las empresas que operan en el siglo XXI se enfrentan a muchos retos, significativos, entre ellos: Rentabilidad, competitividad, globalización, velocidad de los cambios, capacidad de
Figura 1: Sistema de Gestión de Mejora Continua B.- ¿Quées ¿Quées un Sistema de Gestión de segur segur i dad de l a información?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.[2] En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida transmitida en conversaciones,
Universidad Politécnica Salesiana. Campaña Josué. ISO 27001.
2
etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. [2] Figura 2: Fases de ISO 27001
Figura 3: Familia ISO 27000
Figura 2: Metodología ISO 27001
es la Nor ma I SO 27000? C.- ¿Qué
La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización y la Comisión Electrotécnica Internacional.
Como pudimos notar la serie de la ISO 27000 la que ofrece la certificación es la ISO 27001. es la Nor ma I SO 27001? D.- ¿Qué
Es la normativa certificable para los Sistemas de Gestión de Seguridad de la Información, la cual evolucionó del estándar ISO 17799 que a su vez se derivó de la BS 7799. La finalidad de esta norma es permitir de forma sistemática minimizar el riesgo y proteger la información en las empresas. [1] La norma ISO 27701:2005 está constituida por 8 cláusulas y Anexos, de los cuales la parte medular del sistema son desde la cláusula 4 a la 8 y el Anexo A. Las cláusulas indican los procedimientos que deben ser implementados, los documentos que deben ser elaborados y los registros que deben ser mantenidos dentro de la organización. El anexo A indica los controles y objetivos de control a implementar con el fin de ser salvaguardas o contramedidas, los mismos que se encuentran distribuidos en 11 dominios de cobertura que son: •A.5. Política de seguridad •A.6. Organización de la seguridad de la información. •A.7. Gestión de activos. •A.8. Seguridad de los recursos humanos. •A.9. Seguridad física y ambiental. •A.10. Gestión de las comunicaciones y operaciones. •A.11. Control de acceso. •A.12. Adquisición, desarrollo y mantenimiento de los sistemas
de información.
Universidad Politécnica Salesiana. Campaña Josué. ISO 27001.
3
•A.13. Gestión de incidentes en seguridad de la información. •A.14. Gestión de la continuidad del negocio •A.15. Cumplimiento. [1] E.- ¿Por quéim plementar I SO 27001?
La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.[3] Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.[3]
Figura4: Fases ISO 27001
F.- ¿Cómo im plementar I SO 27001?
La norma ISO 27001 determina cómo gestionar la seguridad de la información a través de un sistema de gestión de seguridad de la información. Un sistema de gestión de este tipo, igual que las normas ISO 9001 o ISO 14001, está formado por cuatro fases que se deben implementar en forma constante para reducir al mínimo los riesgos sobre confidencialidad, integridad y disponibilidad de la información.[4] Las fases son las siguientes: La Fase de planificación: esta fase sirve para planificar la organización básica y establecer los objetivos de la seguridad de la información y para escoger los controles adecuados de seguridad (la norma contiene un catálogo de 133 posibles controles).[4] La Fase de implementación: esta fase implica la realización de todo lo planificado en la fase anterior.[4] La Fase de revisión: el objetivo de esta fase es monitorear el funcionamiento de l SGSI mediante diversos “canales” y verificar si los resultados cumplen los objetivos establecidos.[4]
G.- ¿Dónde im plementar I SO 27001?
ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI).[3] ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida.[3] Esta norma está dirigida todo tipo de empresas que procesen datos e información, de cualquier sector económico o industrial, públicas o privadas. H.- ¿Benefi cios I SO 27001?
El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización:
La Fase de mantenimiento y mejora: el objetivo de esta fase es mejorar todos los incumplimientos detectados en la fase anterior.[4] Estas cuatro fases nunca termina, todas las actividades deben ser implementadas cíclicamente para mantener la eficacia del SGSI.
Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial. Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información. Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
Universidad Politécnica Salesiana. Campaña Josué. ISO 27001.
El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.[3]
K.- I SO 27001 EN TEL CONET
TELCONET, líder en servicios de internet y la primera empresa ecuatoriana en certificarse bajo ISO 27001: 2005, encuentra la esencia de su negocio, según nos comentó Tomislav Topic, su gerente general, en el entendimiento profundo de las necesidades de sus clientes, buscando así otorgarles valor en cada servicio de transmisión de datos, internet dedicado, comunicación unificada, centro de datos o vídeo seguridad. [5] Patricio Samaniego: "El desconocimiento de esta nueva norma, la ausencia de casos de éxito en Ecuador, lograr que la gente apoye, participe y esté motivada en todo el proceso. Por ello, trabajamos en la concientización y transmitimos los objetivos para que todos como equipo los visualicemos."[5] Patricio Samaniego: "La experiencia previa en ISO 9001 dio a todo nuestro equipo conformado principalmente por técnicos en informática y telecomunicaciones una confianza tal que nos llevó a subestimar inicialmente el proceso y pensar que podíamos aplicarlo sin ayuda alguna. Afortunadamente, solicitamos una auditoría de pre certificación y los auditores nos hicieron detectar rápidamente en esta deficiencia. Nosotros, como es nuestra costumbre, analizamos esta observación e hicimos los correctivos correspondientes, que nos ayudaron a aplicar la norma evitando discrecionalidad y cumpliendo con todas las formalidades que un proceso tan serio como éste requería."[5] Alfonso Aranda: "Creemos que debemos perderle el miedo a la norma ISO 27001: 2005. Ésta puede impresionar por sus 11 dominios y sus 133 controles, pero nos da una metodología para establecer un sistema que no nos exige tener lo perfecto para ponerlo a andar, sino nos concientiza sobre cuáles son nuestros activos de información, sus vulnerabilidades y potenciales amenazas para prevenir riesgos que puedan afectar la continuidad de nuestros negocios. Hoy, más que nunca, las compañías deberían ocuparse por proteger su información, quizás el activo más valioso que disponen."[5]
4
L.- Situación posteri or de TE L CONET a la aplicación I SO 27001
Javier Galarza: "El contar con un SGSI constituyó, en primer lugar, en un diferenciador frente a nuestros competidores. Fuimos la primera empresa ecuatoriana en certificarnos y seguimos siendo la única certificada en nuestro segmento. En segundo lugar, nos permitió dialogar con nuestros clientes visualizando los riesgos que para ellos son relevantes, de manera tal que al ofrecerles servicios, nosotros también los atendiéramos. En tercer lugar, y posiblemente desde el punto de vista de control el elemento más importante, es el grado de concientización de nuestro personal que hemos logrado. Todos estamos pendientes de las amenazas que pueden afectar a nuestros clientes, a nuestro personal y a nuestra empresa.” [5]
III. RESULTADOS OBTENIDOS
TELCONET, con el afán de resguardar la inversión de su empresa asegurando la disponibilidad, integridad y confidencialidad de su información, es una de las primeras empresas en el Ecuador la cual es la cual cumplió con las exigencias de la norma ISO 27001 y obtuvo la certificación en Sistema de Gestión de Seguridad de la Información. Estos servicios les permiten brindar a los clientes un nivel avanzado de protección de su información de manera eficiente y transparente para el usuario. Para cumplir con este propósito nos apoyamos en herramientas de seguridad líderes en el mercado, así como también contamos con personal altamente capacitado quien trabaja como una unidad de soporte proactiva ante eventos e incidentes que puedan atentar a la seguridad de su información.
IV. CONCLUSIONES
G.- Situación anteri or de TE L CONET a la aplicación I SO 27001
Alfonso Aranda: "La principal razón fue organizarnos para manejar de mejor manera la seguridad de nuestra red, nuestros sistemas y nuestro negocio. Ante la necesidad de controlar nuestros procesos, agregar valor a nuestros clientes y procesos, vimos una oportunidad en el hecho de que contábamos desde el 2006 con un sistema de gestión de calidad y nuestra gente entendía y vivía la mejora continua.” [5]
El tener implantado un SGSI certificado bajo la norma ISO 27001:2005 no significar contar con seguridad máxima en la información de la organización sino que esto significa que la empresa cumple con los requerimientos y mejores prácticas establecidas en dicha norma para que su SGSI actual funcione correctamente y además pueda evolucionar hacia la sofisticación. Esta norma específica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad. Las ISO 27000 es el conjunto de estándares desarrollados por ISO e IEC, que proporcionan un marco de gestión de la seguridad de la información
Universidad Politécnica Salesiana. Campaña Josué. ISO 27001. pero de esta familia la más importante es la ISO 27001 ya que esta es la que brinda la certificación.
Para que una organización sea certificada en ISO 27001 tiene que cumplir con las fases de la metodología de la ISO. V. BIBLIOGRAFIA
[1] “Implementación del primer Sistema de Gestión de Seguridad de la Información.pdf.” [Online]. Available: http://www.dspace.espol.edu.ec/bitstream/123456789/808 0/1/Implementaci%C3%B3n%20del%20primer%20Siste ma%20de%20Gesti%C3%B3n%20de%20Seguridad%20 de%20la%20Informaci%C3%B3n.pdf. [Accessed: 30May-2014]. [2] “ISO27000.es - El portal de ISO 27001 en español. Gestión de Seguridad de la Información.” [Online]. Available: http://www.iso27000.es/sgsi.html. [Accessed: 30-May-2014]. [3] “Brochure-iso-27001-cotecna-ecuador-FINAL.ashx.” [Online]. Available: http://www.cotecna.com.ec/esES/Services/~/media/Countries/Ecuador/Documents/Broc hure-iso-27001-cotecna-ecuador-FINAL.ashx. [Accessed: 30-May-2014]. [4] “¿Qué es la norma ISO 27001? | 27001Academy.” [Online]. Available: http://www.iso27001standard.com/es/que-es-la-normaiso-27001. [Accessed: 30-May-2014]. [5] “Empresa de Calidad - Telconet.” [Online]. Available: http://www.hansenholm.com/v3/index.php/destacado/empresa-de-calidadtelconet.html. [Accessed: 30-May-2014].
5