Normatividad ISO 27000
La ISO ha reservado la serie ISO/IEC 27000 para una gama de normas de gestión de la seguridad de la infor mación de manera similar a lo realiza do con las normas de gestión de la calidad, la serie ISO 9000.
La numeración actual de las Nor mas de la serie ISO/IEC 27000 es la siguiente: y y
y
y
y
y
y
y
ISO/IEC 27000: Fundamentos y vocabulario. ISO/IEC 27001: 27001: Norma que especifica los requisitos r equisitos para la implantación del Sistema de Gestión de Seguridad de la Información (SGSI). Es la norma más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos. ISO/IEC 27002: (previamente BS 7799 Parte 1 y la norma ISO/IEC 17799): Código de buenas prácticas para la gestión de Seguridad de la Información. ISO/IEC 27003: Directrices para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI). Es el soporte de la norma ISO/IEC 27001. ISO/IEC 27004: Métricas para la gestión de Seguridad de la Información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información. infor mación. ISO/IEC 27005: Gestión de riesgos de la Seguridad de la Información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001. ISO/IEC 27006: 27006: Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la Seguridad de la Información. Esta norma específica requisitos específicos para la cert ificación de SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de acreditación.
Fuente: http://www.segu-info.com http://www.segu-info.com.ar/articulos/73-familia-iso-2 .ar/articulos/73-familia-iso-27000.htm 7000.htm
Principales claves para implantar la ISO 27001 En la revista ITAudit aparece un breve artículo respecto a los principales puntos a contemplar a la hora de abordar una certifi cación ISO 27001. A continuación resumo los puntos más destacados: - Identificar los objetivos de negocio: el propósito de la certificación es garantizar la gestión de la seguridad sin olvidar que esto debe contribuir al desarrollo de los servicios o procesos de negocio. La seguridad debe alinearse estratégicamente c on la actividad de la organización para darle un mejor soporte y robustez. - Seleccionar un alcance adecuado: El esfuerzo en la implementación será proporcional al tamaño del sistema a construir. En muchos casos, no es n ecesario extender el SGSI a toda la organiza ción
sino centrarnos como primer paso en el corazón de la gestión donde se concentra la mayor parte de las actividades relacionadas con la gestión de información, que suele coincidir con las áreas de sistemas de información o con algún departamento dond e la seguridad de la información que s e gestiona es crítico para el desarrollo de las actividades de negocio. - Determinar el nivel de madurez ISO 27001: Debemos identificar en qué estado de madurez se encuentra la organización para identificar el esfuerzo que habrá que hacer en la implantación. No va a ser igual en organizaciones q ue ya han pasado p reviamente bajo los procesos de certificación de calidad que aquellas que empiecen desde cero y no se encuentren acostumbradas a la gestión de la mejora continua. - Analizar el retorno de inversión: Es muy importante demostrar que el esfu erzo realizado no será un gasto sino una inversión y que tras implantar los procesos de gestión, se conseguirán efectos colaterales que supondrán u n retorno de in versión a consi derar. Es difícil justificar el ahorro por los incidentes no producidos, pero al menos, si es viable demostrar con indicadores que los índices de incidentes se han reducido.
Fuente: http://blog.segu-info.com.ar/2 http://blog.segu-info.com.ar/2007/07/principales 007/07/principales-claves-para-implantar -claves-para-implantar-la.html#axzz1MizYhCOn
La Serie ISO 27000 A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos rangos de numeración reservados por ISO van de 27000 a 27019 y de 27 030 a 27044 . ISO 27000: En fase de desarrollo; su fecha prevista de publicación es el año 2009. Contendrá términos y definiciones definiciones que se e mplean en toda t oda la serie 27 000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tienen-tendrán un coste. ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye Sustituye a la BS 77997 799-2, 2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse adquirirse online en AENOR. Otros países donde también está publicada en es pañol son, por ejemplo: ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de e dición. dición. Es una guía de buenas prácticas que describe los
sino centrarnos como primer paso en el corazón de la gestión donde se concentra la mayor parte de las actividades relacionadas con la gestión de información, que suele coincidir con las áreas de sistemas de información o con algún departamento dond e la seguridad de la información que s e gestiona es crítico para el desarrollo de las actividades de negocio. - Determinar el nivel de madurez ISO 27001: Debemos identificar en qué estado de madurez se encuentra la organización para identificar el esfuerzo que habrá que hacer en la implantación. No va a ser igual en organizaciones q ue ya han pasado p reviamente bajo los procesos de certificación de calidad que aquellas que empiecen desde cero y no se encuentren acostumbradas a la gestión de la mejora continua. - Analizar el retorno de inversión: Es muy importante demostrar que el esfu erzo realizado no será un gasto sino una inversión y que tras implantar los procesos de gestión, se conseguirán efectos colaterales que supondrán u n retorno de in versión a consi derar. Es difícil justificar el ahorro por los incidentes no producidos, pero al menos, si es viable demostrar con indicadores que los índices de incidentes se han reducido.
Fuente: http://blog.segu-info.com.ar/2 http://blog.segu-info.com.ar/2007/07/principales 007/07/principales-claves-para-implantar -claves-para-implantar-la.html#axzz1MizYhCOn
La Serie ISO 27000 A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos rangos de numeración reservados por ISO van de 27000 a 27019 y de 27 030 a 27044 . ISO 27000: En fase de desarrollo; su fecha prevista de publicación es el año 2009. Contendrá términos y definiciones definiciones que se e mplean en toda t oda la serie 27 000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tienen-tendrán un coste. ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye Sustituye a la BS 77997 799-2, 2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse adquirirse online en AENOR. Otros países donde también está publicada en es pañol son, por ejemplo: ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de e dición. dición. Es una guía de buenas prácticas que describe los
objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. ISO 27003: En fase de desarrollo; su fecha prevista de publicación es el año 2009. Consistirá en una guía de implementación de SGSI e información acerca del uso del modelo PDCA (Modelo ³Plan, Do, Control y Act´) y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación. ISO 27004: En fase de desarrollo; su fecha prevista de publicación es el año 2009. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase ³Do´ (Implementar y Utilizar) del ciclo PDCA. ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. El conocimiento de los conceptos, modelos, procesos y términos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información. Su publicación revisa y retira las normas ISO/IEC TR 133353:1998 y ISO/IEC TR 13335-4:2000. ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC ISO/IEC 17021 cuando se aplican a entidades de certificación certificación de ISO 27001, pero no es una norma de a creditación por sí misma. ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI. ISO 27011: En fase de desarrollo; su fecha prevista de publicación es el año 2009. Consistirá en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).
ISO 27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones. ISO 27032: En fase de desarrollo; su fecha prevista de publicación es el año 2009. Consistirá en una guía relativa a la ciberseguridad. ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. Provendrá de la revisión, ampliación y renumeración de ISO 18028. ISO 27034: En fase de desarrollo; su fecha prevista de publicación es el año 2009. Consistirá en una guía de seguridad en aplicaciones. ISO 27799: Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de información personal de salud. ISO 27799:2008 se aplica a la información en salud en todos sus aspectos y en cualquiera de sus formas, toma la información (palabras y números, grabaciones sonoras, dibujos, vídeos y imágenes médicas), sea cual fuere el medio utilizado para almacenar (de impresión o de escritura en papel o electrónicos de almacenamiento) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informáticas o por correo), ya que la información siempre debe estar adecuadamente protegida. Fuente: http://www.gestion-calidad.com/iso-27000.html
y
ISO 27000 La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International
Organization
for
Standardization)
e
IEC
(International
Electrotechnical
Commission), que proporcionan un marco d e gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001. Acceda directamente a las secciones de su interés a través del submenú de la izquierda o siguiendo los marcadores de final de página.
y
Origen Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como: 1979. Publicación BS 5750 - ahora ISO 9001 1992. Publicación BS 7750 - ahora ISO 14001 1996. Publicación BS 8800 - ahora OHSAS 18001 La norma BS 7799 de BSI apareció por primera vez en 1 995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se establecía un esquema de c ertificación. Es la segunda parte (B S 7799-2), publicada por primera
vez en 1998 la que es ablec ¡
(
¤
¥
¤
¦
¢
£
los requisitos de un sistema de seguridad de la información
) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. En 2005, con m s de 1700 empresas certificadas en BS 7799-2, este esquema se publicó por §
ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO 17799. Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publi cación formal de la revisión.
En Marzo de 2006, posteriormente a la publicación de ISO 27001:200 5, BSI publicó la BS 77993:2006, centrada en la gestión del riesgo de los sistemas de información. Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001, qu e es la norma principal y única certificable dentro de la serie. En la sección de Artículos y Podcasts encontrará un archivo gráfico y sonoro con la historia de ISO 27001 e ISO 17799.
y
La serie 27000 A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044. Las normas que incluye son (toda la información disponible públicamente sobre el desarrollo de las normas de la serie 27000 puede consultarse en la pá gina web del subcomité JTC1/SC27):
ISO
/IE C
27000:
Publicada el 1 de Mayo de 2009. Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción del proceso Plan- Do-Check-Act y términos y definiciones que se emplean en toda la serie 27000. En España, esta norma aún no está traducida. El original en inglés y su traducción al francés pueden descargarse gratuitamente de standards.iso.org /ittf /PubliclyAv ailableStandards.
ISO
/IE C
27001 :
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su An exo A, enumera en forma de resumen los o bjetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR (también en lengua gallega). En 2009, se publicó un documento adicional de modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros países donde también está publicada en español son, por ejemplo, Colombia (NTC-ISO-IEC 27001), Venez uela (Fondonorma ISO/IEC 27001), Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001) o México (NMX-I-041/02-NYCE). El original en inglés y la traducción al francés pueden adquirirse en iso.org. Actualmente, este estándar se encuentra en periodo de revisión en el subcomité ISO SC27, con fecha prevista de publicación en 2012.
ISO
/IE C
27002:
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Publicada en España como UNE-ISO/IEC 27002 :2009 desde el 9 de Diciembre de 2009 (a la venta en AENOR ). Otros países donde también está publicada en español son, por ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC
27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002) o Perú (como ISO 17799; descarga gratuita). El original en inglés y su traducción al francés pueden adquirirse en iso.org . Actualmente, este estándar se encuentra en periodo de revisión en el subcomité ISO SC27, con fecha prevista de publicación en 2012.
ISO
/IE C
27003:
Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificación y diseño desde la concepción hasta la pu esta en marcha de planes de i mplementación, así como el proceso de obtención de aprobación por la dirección para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en iso.org .
ISO
/IE C
27004:
Publicada el 7 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en iso.org
ISO
/IE C
27005:
Publicada el 4 de Junio de 2008. No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. Su publicación revisa y retira las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000. El original en inglés puede adquirirse en iso.org . En España, esta norma aún no está traducida, sin embargo, sí lo está en países como México (NMX-I-041/05-NYCE), Chile (NCh-ISO27005) o Colombia (NTC-ISO-IEC 27005).
ISO
/IE C
27006:
Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma. El original en inglés puede adquirirse en iso.org. En España, esta norma aún no está traducida, sin embargo, sí lo está en México (NMX-I-041/06-NYCE).
ISO
/IE C
27007:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.
ISO
/IE C
27008:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de auditoría de los controles seleccionados en el marco de i mplantación de un SGSI.
ISO
/IE C
270 10:
En fase de desarrollo, con publicación prevista en 2012. Es una norma en 2 partes, que consistirá en una guía para la gestión de la seguridad de la información en comunicaciones inter-sectoriales.
ISO
/IE C
270 11 :
Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Está publicada también como norma ITU-T X.1051. En España, aún no está traducida. El original en inglés puede adquirirse en iso.org.
ISO
/IE C
270 12:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en un conjunto de requisitos (complementarios a ISO/IEC 27001) y directrices (complementarias a ISO/IEC 27002) de gestión de seguridad de l a información en organizaciones que proporcionen servicios de eAdministración.
ISO
/IE C
270 13:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de implementación integrada de ISO/IEC 27001 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI).
ISO
/IE C
270 14:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de gobierno corporativo de la seguridad de la i nformación.
ISO
/IE C
270 15:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de SGSI para organizaciones del sector financiero y de seguros.
ISO
/IE C
27031 :
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.
ISO
/IE C
27032:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía relativa a la ciberseguridad.
ISO
/IE C
27033:
Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 10 de Diciembre de 2009 y disponible en iso.org); 27033-2, directrices de diseño e implementación de seguridad en redes (prevista para 2011); 27033-3, escenarios de redes de referencia (prevista para 2011); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad (prevista para 2012); 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2012); 27033-6, convergencia IP (prevista para 2012); 27033-7, redes inalámbricas (prevista para 2012).
ISO
/IE C
27034:
En fase de desarrollo, con publicación prevista en 2010. Consistirá en una guía de seguridad en aplicaciones informáticas.
ISO
/IE C
27035:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de gestión de incidentes de seguridad de la información.
ISO
/IE C
27036:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de seguridad de outsourcing (externalización de servicios).
ISO
/IE C
27037:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de identificación, recopilación y preservación de evidencias digitales.
ISO 27799: Publicada el 12 de Junio de 2008. Es una n orma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pa cientes. Esta norma, al contrario que la s anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. El original en inglés o francés puede adquirirse en iso.org. Desde el 20 de Enero de 2010, esta norma está publicada en España como UNEISO/IEC 27799:2010 y puede adquirirse online en AENOR
y
Contenido En esta sección se hace un breve resumen del contenido de las normas de la serie 27000 ya publicadas. Si desea acceder a las normas completas, debe saber que éstas no son de libre difusión sino que han de s er adquiridas. Para los originales en inglés, puede hacerlo online en la tienda virtual de la propia organización:
iso.org Las normas en español pueden adquirirse en España en AENOR (vea en la sección Serie 27000 cuáles están ya traducidas) Las entidades de normalización responsables de la publicación y venta de normas en cada país hispanoamericano (es decir, las homólogas del AENOR español) las puede encontrar listadas en nuestra sección de "Enlaces", bajo "A creditación y Norma lización".
ISO 27000:2009 0 Introd uction 1
Scope
2 Terms and definitions
3
Information
security
management
systems
3.1
Introduction
3.2
What
is
3.3
an
ISMS
Process
3.4
Why
an
3.5
Establishing,
monitoring,
3.6
approach ISMS
maintaining
ISMS
is and
important
improving
critical
an
ISMS
sucess
factors
3.7 Benefits of the ISMS family of standards
4
ISMS
family
4.1
of
standards
General
4.2
Standards
4.3
describing
information
an
overview
Standards
4.4
and
terminology
specifying
Standards
describing
requirements general
guidelines
4.5 Standards describing sector-specific guideliness Annex A (informative) Verbal forms for the expression of provision Annex
B (informative) Cate gorized terms
Bibliography ISO 27001:2005 0
Introducción:
generalidades
e
introducción
al
método
0.1
PDCA.
Generalidades
0.2
Enfoque
por
proceso
0.3 Compatibilidad con otros sistemas de gestión 1
Objeto
y
campo de ap licación: se especifica el objetivo, la aplicación y el tratamiento de
exclusiones. 1.1
Generalidades
1.2 Aplicación
2 Normas para cons ulta: otras normas que sirven de referencia. 3 Términos
y
definiciones: breve descripción de los términos más usados en la norma.
4 Sistema de gestión de la seg uridad de la información: cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de
la
4.1
Requisitos
4.2
Creación
-
misma.
y
4.2.1 4.2.2
gestión Creación
Implementación
generales
y
del
SGSI
del operación
SGSI del
SGSI
-
4.2.3
-
4.2.4
Supervisión
y
Mantenimiento
4.3
revisión y
mejora
Requisitos
del
SGSI
del
SGSI
de
documentación
-4.3.1
Generalidades
-4.3.2
Control
de
documentos
-4.3.3 Control de registros
5 Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y provisión de
recursos
y
5.1
concienciación,
formación
Compromiso
5.2 5.2.1
capacitación
de
Gestión
-
y
la
de Provisión
del
dirección
los de
personal.
recursos los
recursos
- 5.2.2 Concienciación, formación y competencia
6
Auditorías
internas de l SGSI: cómo realizar las auditorías internas de control y
cumplimiento.
7 Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de revisión del SGSI
por
parte
de
la
dirección.
7.1
Generalidades
7.2
Datos
iniciales
de
la
revisión
7.3 Resultados de la revisión
8 Me jora del SGSI: mejora continua, acciones correctivas y acciones preventivas. 8.1
Mejora
8.2
Acción
continua correctiva
8.3 Acción preventiva Anexo A: (normativo) Objetivos de control y controles - anexo normativo que enumera los
objetivos de control y controles que se encuentran detallados en la norma ISO 27002:2005. Anexo
B: (informativo) Relación con los Principios de la OC DE con la correspondencia entre los
apartados de la ISO 27001 y los principios de buen gobierno de la OC DE. Anexo
C:
(informativo)
Correspondencia
con
otras
normas
mediante
una
tabla
correspondencia de cláusulas con ISO 9001 e ISO 14001.
Bibliografía: normas y publicaciones de referencia. ISO 27002:2005 (anterior ISO 17799:2005) 0 Introd ucción: conceptos generales de s eguridad de la información y SGSI. 1 Campo
de ap licación: se especifica el objetivo de la norma.
2 Términos
y
definiciones: breve descripción de los términos más usados en la norma.
de
3 Estructura del estándar: descripción de la estructura de la norma. 4 E valuación
y
tratamiento del riesgo: indicaciones sobre cómo evaluar y tratar los riesgos
de seguridad de la información.
5 Política de seg uridad: documento de política de seguridad y su gestión. 6
Aspectos
organizati vos de la seguridad de la información: organización interna;
terceros.
7 Gestión de acti vos: responsabilidad sobre los activos; clasificación de la información. 8 Seguridad ligada a los recursos
hu manos: antes del empleo; durante el empleo; cese del
empleo o cambio de puesto de trabajo.
9 Seguridad física 10
y
ambiental: áreas seguras; seguridad de los equipos.
Gestión de com unicaciones
y
operaciones: responsabilidades y procedimientos de
operación; gestión de la provisión de servicios por terceros; planificación y aceptación del sistema; protección contra código malicioso y descargable; copias de seguridad; gestión de la seguridad de las redes; manipulación de los soportes; intercambio de información; servicios de comercio electrónico; supervisión. 11 Control
de acceso: requisitos de negocio para el control de acceso; gestión de acceso de
usuario; responsabilidades de usuario; control de acceso a la red; control de acceso al sistema operativo; control de acceso a las aplicaciones y a la información; ordenadores portátiles y teletrabajo. 12 Adq uisición,
desarro llo
y
mantenimiento de l os sistemas de información:<0 b>
requisitos de seg uridad de l os sistemas de información; tratamiento correcto de las aplicaciones; controles criptográficos; seg uridad de seguridad en los procesos de desarro llo
y
los
arc hivos de sistema;
soporte; gestión de la
vulnerabilidad
técnica. 13
Gestión de incidentes de seg uridad de la información: notificación de eventos y puntos
débiles de la seguridad de la información; gestión de incidentes de seguridad de la información y mejoras. 14
Gestión de la continuidad del negocio: aspectos de la seguridad de la información en la
gestión de la continuidad del negocio. 15 Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las políticas y
normas de seguridad y cumplimiento técnico; consideraciones sobre las auditorías de los sistemas de información.
Bibliografía: normas y publicaciones de referencia.
Índice
Puede descargarse una lista de todos los controles que contiene esta norma aquí: http://www.iso27000.es/do wnload /C ontrolesISO27002-2005.pdf
ISO 27003:2010 -
Fore word
-
Introd uction
1
Scope
2
Normative
references
3 Terms and definitions 4
Structure
4.1
of
this
General
4.2
International
structure
General
Standard
of
structure
clauses
of
a
clause
4.3 Diagrams
5
Obtaining
5.1
Overview
5.2
Clarify
5.3
management of
obtaining the
appro val
management
initiating
approval
organization¶s
Define
for
for
priorities
the
an
ISMS
initiating
to
an
ISMS
develop
preliminary
pro ject
an
project ISMS
ISMS
scope
5.4 Create the business case and the project plan for management approval
6
Defining
6.1
Overview
6.2 6.3
ISMS of
defining
Define Define
b oundaries
ISMS
scope,
organizational
information
6.4
scope,
boundaries scope
communication
Define
and and
(ICT)
policy
boundaries
scope
scope
policy
ISMS
and
technology
physical
ISMS
and
and
boundaries boundaries
6.5 Integrate each scope and boundaries to obtain the ISMS scope and boundaries 6.6 Develop the ISMS policy and obtain approval from management
7
Cond u cting
7.1
Overview
7.2
Define
7.3
of
information conducting
information
Identify
sec urity information
security assets
requirements security
requirements
for
within
ana lysis
requirements
analysis
the
process
the
ISMS ISMS
scope
7.4 Conduct an information security assessment
8
Cond u cting
risk
8.1
Overview
conducting
8.2 8.3
of
assessment risk
the
p lanning
assessment
Conduct Select
and
and
risk
planning
risk control
objectives
risk
t reat me nt treatment assessment
and
8.4 Obtain management authorization for implementing and operating an ISMS
controls
9
Designing
9.1
Overview
9.2
Design
9.3
of
ICT
Design
ISMS
designing
the
organizational
Design
9.4
t he
and
information physical
ISMS
ISMS security
information
specific
security
information
security
9.5 Produce the final ISMS project plan Annex Annex Annex
(informative)
A
B
(informati ve) D
Annex
and
(informati ve)
C
Annex
Roles
responsi bilities
Information
(informati ve)
E
Checklist
(informati ve)
for
a bout
description
Information Infernal
Au diting
of
policies
Structure Monitoring
Security
and
meas uring
Bibliography ISO 27004:2009 0
Introd uction
0.1
General
0.2 Management overview 1
Scope
2 Normati ve references 3 Terms and definitions 4 Structure of this International Standard 5
Information
5.1
Objectives
5.2
sec urity of
Information
information Security
5.3
o verview
security
measurement
Measurement
Programme
Success
5.4
Information
factors
security
-
measurement
model
5.4.1
-
5.4.2
Base
-
5.4.3
Derived
-
measurement
5.4.4
measure measure Indicators
Overview and
measurement
method
and
measurement
function
and
analytical
model
- 5.4.5 Measurement results and decision criteria
6
Management
6.1 6.2
responsi bilities Overview
Resource
6.3 Measurement training, awareness, and competence
management
7
Measures
and
meas urement
de vel opment
7.1
Overview
7.2
Definition
7.3
Identification
7.4
of of
Object
7.5
measurement information
and
attribute
Measurement
development
7.5.1
-
need selection
construct
-
scope
Overview
7.5.2
Measure
selection
-
7.5.3
Measurement
method
-
7.5.4
Measurement
function
Analytical
model
-
7.5.5
-
7.5.6
-
Indicators
7.5.7
Decision
-
criteria
7.5.8
7.6
Stakeholders
Measurement
7.7
Data
collection,
construct analysis
and
reporting
7.8 Measurement implementation and documentation
8
Measurement
operation
8.1
Overview
8.2
Procedure
integration
8.3 Data collection, storage and verification
9
Data
analysis
and
measurement
results
9.1
reporting Overview
9.2
Analyse
data
and
develop
measurement
results
9.3 Communicate measurement results 10
Information Sec urity Measurement
Programme
E valuation and Impro vement
10.1
Overview
10.2 Evaluation criteria identification for the Information Security Measurement Programme 10.3 Monitor, review, and evaluate the Information Security Measurement Programme 10.4 Implement improvements Annex A Annex
(informative) Temp late for an information sec urity measurement constr uct
B (informati v e) Measurement constr uct examples
Bibliography ISO 27005:2008 Foreword 1
Scope
2 Normati ve references 3 Terms and definitions 4 Structure of this International Standard 5 Background 6 Overvie w of the information sec urity risk management process 7
Context
7.1
establishment
General
7.2
considerations
Basic
7.3
The
criteria
scope
and
boundaries
7.4 Organization for information security risk management
8
Information
8.1
General
sec urity
description
of
8.2
risk
information
assessment
security
risk
Risk
-
analysis
8.2.1
-
assessment
Risk
8.2.2
identification
Risk
estimation
8.3 Risk evaluation
9
Information
9.1
sec urity
General
description
risk of
treatment
risk
treatment
9.2
Risk
reduction
9.3
Risk
retention
9.4
Risk
avoidance
9.5 Risk transfer 10
Information sec urity risk acceptance
11
Information security risk comm unication
12
Information
12.1
sec urity
Monitoring
risk
and
monitoring
review
of
and risk
re view factors
12.2 Risk management monitoring, reviewing and improving Annex A
(informative) Defining t he scope and boundaries of t he information sec urity
risk
management
A.1 A.2
Study List
of
of the
constraints
process the affecting
organization the
organization
A.3 List of the legislative and regulatory references applicable to the organization A.4 List of the constraints affecting the scope
Annex
B (informati ve) Identification and valu ation of assets and impact assessment
B.1
Examples
-
B.1.1
-
B.1.2
of
The List
asset
identification and
B.2
identification
of
description
of
primary
assets
supporting
assets
Asset
valuation
B.3 Impact assessment Annex C Annex
(informative) Examples of t ypical threats
D (informati ve) Vulnerabilities and met hods for
D.1
Examples
vulnerability
of
assessment vulnerabilities
D.2 Methods for assessment of technical vulnerabilities Annex
E
(informati ve)
E.1
High-level
E.2
Detailed
E.2.1 E.2.2
information information
Example Example
Information
1 2
Ranking
sec urity
risk
security security
Matrix of
with Threats
assessment
approac hes
risk
assessment
risk
assessment
predefined by
Measures
values of
Risk
E.2.3 Example 3 Assessing a value for the likelihood and the possible consequences of risks Annex
F (informati ve) Constraints for risk red uction
Bibliography ISO 27006:2007 (Esta norma referencia directamente a muchas cláusulas de ISO 17021 -requisitos de entidades de auditoría y certificación de sistemas de gestión-, por lo que es recomendable disponer también de dicha norma, que puede adquirirse en español en AENOR ).
Foreword: presentación de las organizaciones ISO e IEC y sus actividades. Introd uction: antecedentes de ISO 27006 y guía de uso para la norma. 1
Scope: a quién aplica este estándar.
2 Normati ve references: otras normas que sirven de referencia. 3 Terms and definitions: breve descripción de los términos más usados en la norma. 4 Principles: principios que rigen esta norma. 5 General requirements: aspectos generales que deben cumplir las entidades de certificación de 5.1
SGSIs. Legal
and
contractual
matter
5.2
Management
of
impartiality
5.3 Liability and financing
6 Structural requirements: estructura organizativa que deben tener las entidades de certificación 6.1
de Organizational
SGSIs.
structure
and
top
management
6.2 Committee for safeguarding impartiality
7 Resource req uirements: competencias requeridas para el personal de dirección, administración y auditoría de la entidad de certificación, así como para auditores externos, expertos
técnicos
7.1
Competence
7.2 7.3
of
Personnel Use
of
externos
in
external
7.4
subcontratas.
management
involved
individual
y and
the
auditors
and
personnel
certification external
activities
technical
Personnel
experts records
7.5 Outsourcing
8 Information req uirements: información pública, documentos de certificación, relación de clientes certificados, referencias a la certificación y marcas, confidencialidad e intercambio de información
entre
8.1
la
entidad
Publicly
8.2
certificación
y
sus
accessible
Directory Reference
to
documents
of
certified
certification
clientes. information
Certification
8.3 8.4
de
and
clients
use
of
8.5
marks
Confidentiality
8.6 Information exchange between a certification body and its clients
9 Process req uirements: requisitos generales del proceso de certificación, auditoría inicial y certificación, auditorías de seguimiento, recertificación, auditorías especiales, suspensión, retirada o modificación de alcance de la certificación, apelaciones, reclamaciones y registros de solicitantes
y
9.1 9.2
clientes.
General Initial
requirements
audit
9.3
and
certification
Surveillance
activities
9.4
Recertification
9.5 9.6
Special Suspending,
withdrawing
or
audits reducing
scope
of
certification
9.7
Appeals
9.8
Complaints
9.9 Records of applicants and cli ents 10
Management s ystem requirements for certification
b odies: opciones, opción 1
(requisitos del sistema de gestión de acuerdo con ISO 9001) y opción 2 (requisitos del sistema
de
gestión
general).
10.1 10.2
Options Option
1
±
Management
system
requirements
in
accordance
with
ISO
9001
10.3 Option 2 ± General management system requirements Annex A
-
Análisis
de la comple jidad de la organización de
un
cliente
y
aspectos
específicos del sector: potencial de riesgo de la organización (tabla orientativa) y categorías de riesgo de la seguridad de la información específicas del sector de actividad. Annex
B - Áreas de e jempl o de competencia de l auditor: consideraciones de competencia
general y consideraciones de competencia específica (conocimiento de los controles del An exo A de ISO 27001:2005 y conocimientos sobre SGSIs). Annex
c - Tiempos de a uditoría: introducción, procedimiento para determinar la duración de
la auditoría y tabla de tiempos de auditoría (incluyendo comparativa con tiempos de auditoría de sistemas de calidad -ISO 9001- y medioambientales -ISO 14001-). Annex
D - G uía para la revisión de contro les imp lantados del
Anexo A
de ISO
27001 :2005: tabla de apoyo para el auditor sobre cómo auditar los controles, sean organizativos o técnicos.
ISO 27011:2008 1
Scope
2 Normati ve references 3
Definitions
and
a bb reviations
3.1
Definitions
3.2 Abbreviations
4
Overvie w
4.1
Structure
of
this
guideline
4.2 Information security management systems in telecommunications business
5 Security policy 6
Organization
6.1
of
information
Internal
sec urity organization
6.2 External parties
7 7.1
Asset
Responsibility
7.2 Information classification
management for
assets
8
Human
8.1
reso urces
Prior
sec urity
to
8.2
employment
During
employment
8.3 Termination or change of employment
9
Phy sical
and
9.1
en vironmenta l
security
Secure
areas
9.2 Equipment security 10
Comm unications
10.1 10.2
Operational Third
10.3 10.4
and
operations
procedures party
and
service
System against
responsibilities
delivery
planning
Protection
management
management
and
malicious
acceptance
and
mobile
10.5
code Back-up
10.6
Network
security
10.7
management
Media
10.8
handling
Exchange
10.9
of
Electronic
information
commerce
services
10.10 Monitoring Access
11
11.1
Business
requirement
11.2
access
access
responsibilities
Network
access
Operating
control
system
Application
control management
User
11.4
11.6
for
User
11.3
11.5
control
and
access
information
control
access
control
11.7 Mobile computing and teleworking 12
12.1 12.2
Information
systems
Security
acq uisition,
requirements
Correct
of
and
information
processing
12.3
in
Security Security
in
systems
controls
of development
maintenance
applications
Cryptographic
12.4 12.5
deve lopment
system and
support
files processes
12.6 Technical vulnerability management 13
13.1
Information Reporting
information
sec urity security
incident events
13.2 Management of i nformation security incidents and improvements
management and
weaknesses
14
Business
contin uity
management
14.1 Information security aspects of business continui ty management 15 Compliance Annex
±
A
A.9
Telecommu nications
extended
and
environmental
Physical
A.10
Communications
and
A.11
contro l
set security
operations
management
Access
control
A.15 Compliance Annex
B.1
B
±
Network
Additional
security
implementation
measures
against
g uidance
cyber
attacks
B.2 Network security measures for network congestion
Bibliography ISO 27033-1:2009 1
Scope
2 Normati ve references 3 Terms and definitions 4 Abbreviated terms 5 Structure 6
Overvie w
6.1
Background
6.2 Network Security Planning and Management
7
Identif ying
Risks
and
Preparing
to
Identif y
Sec urity
7.1 7.2
Controls
Introduction Information
on
Current
and/or
Planned
Networking
7.3 Information Security Risks and Potential Control Areas
8
Supporting
Control s
8.1
Introduction
8.2
Management
8.3
Technical
8.4 8.5
of
Network Vulnerability
Identification Network
8.6
Intrusion
8.7
Protection
Audit
Management
and Logging Detection against
Security
Authentication and and Malicious
Monitoring Prevention Code
8.8
Cryptographic
Based
Services
8.9 Business Continuity Management
9
Guidelines
for
t he
Design
and
Imp lementation
of
Net work
9.1
Security
Background
9.2 Network Technical Security Architecture/Design 10
Reference Network Scenarios ± Risks, Design,
Techniqu es
and
10.1
Control
Issues
Introduction
10.2
Internet
10.3
Access
Services
Enhanced
for
Employees
Collaboration
Services
10.4
Business
to
Business
Services
10.5
Business
to
Customer
Services
10.6
Outsourcing
10.7
Network
10.8
Mobile
10.9
Network
Support
Services Segmentation Communications for
Traveling
Users
10.10 Network Support for Home and Small Business Offices 11 µ Technology¶ T opics
± Risks, Design Techniques and Control Issues
12
Devel op and Test Security Solution
13
Operate Security Solution
14
Monitor and Re view Solution Implementation
Annex A Annex
B: Sec urity Related Controls, and clauses within this part of ISO/IE C 27033
Annex C
(informative):
T opics
± Risks, Design
T echniq ues
and
Control
Issues
(informative) Cross-references Bet ween ISO/IEC 27001 and ISO/IE C 27002 Network (informative) Example Template for a SecOPs Document ISO 27799:2008 Alcance
Referencias (Normativas) Termino logía
Sim Seg
b ología u ridad
de la información sanitaria (Objetivos; Seguridad en el gobierno de la
información; Infomación sanitara a proteger; Amenazas y vulnerabilidades)
Plan
de acción práctico para imp lantar ISO 1 7799/27002 (Taxonomía; Acuerdo de la
dirección; establecimiento, operación, mantenimiento y mejora de un SGSI; Planning; Doing; Checking, Auditing)
Imp licaciones sanitarias de ISO 17799/27002 (Política de seguridad de la información; Organización; gestión de activos; RRHH; Fisicos; Comunicaciones; Accesos; Adquisición; Gestión de Incidentes; Continuidad de n egocio; Cumplimiento legal) Anexo A: Amenazas Anexo
B: Tareas y documentación de un SGSI
Anexo C: Beneficios potenciales y atributos de herramientas Anexo
y
D: Estándares relacionados
Beneficios Establecimiento de una metodología de ge stión de la seguridad clara y estructurada. Reducción del riesgo de pérdida, robo o corrupción de información. Los clientes tienen acceso a la información a través medidas de seguridad. Los riesgos y sus controles son continua mente revisados. Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial. Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar. Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001«). Continuidad de las operaciones n ecesarias de negocio tras incidentes de gravedad. Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Confianza y reglas claras para las personas de la organización. Reducción de costes y mejora d e los procesos y servicio. Aumento de la motivación y satisfacción del personal.
Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
y
¿Cómo adaptarse?
Arranq ue
del proyecto
Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. No sólo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciación que lleva consigo el proceso hacen necesario el impulso constante de la Dirección. Planificación, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fa ses.
Planificación
Definir alcance del SGSI: en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los límites del SGSI (el SGSI no tiene por qué abarcar toda la organización; de hecho, es recomendable empezar por un alcance limitado). Es importante disponer de un mapa de procesos de negocio, definir claramente los interfaces con el exterior del alcance, determinar las terceras partes (proveedores, clientes...) que tienen influencia sobre la seguridad de la información del alcance, crear mapas de alto nivel de redes y sistemas, definir las ubicaciones físicas, disponer de organigramas organizativos, definir claramente los requisitos legales y contractuales relacionados con seguridad de la información, etc. Definir política del SGSI: que incluya el marco general y los objetivos de seguridad de la información de la organización, tenga en cuenta los requisitos de negocio, legales y
contractuales en cuanto a seguridad, esté alineada con la gestión de riesgo general, establezca criterios de evaluación de riesgo y sea aprobada por la Dirección. La política del SGSI es normalmente un documento muy general, una especie de "declaración de intenciones" de la Dirección. Definir el enfoque de evaluación de riesgos: definir una metodología de evaluación de riesgos apropiada para el SGSI y las necesidades de la organización, desarrollar criterios de aceptación de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologías de evaluación de riesgos aceptadas internacionalmente (ver sección de Herramientas); la organización puede optar por una de ellas, hacer una combinación de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones de detalle, aunque ISO 27005 sí profundiza en directrices sobre la materia. El riesgo nunca es totalmente eliminable -ni sería rentable hacerlo-, por lo que es necesario definir una estrategia de aceptación de riesgo. Inventario de activos: todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI. Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del in ventario. Identificar los impactos: los que podría suponer una pérdida de la confidencialidad, la integridad o la disponibilidad de cada uno de los activos de información. Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en función de los niveles definidos previamente) o requiere tratamiento. Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido (mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma consciente) o transferido (p. ej., con un se guro o un contrato de outsourcing). Selección de controles: seleccionar controles para el tratamiento el riesgo en función de la evaluación anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en cuenta que las exclusiones habrán de ser justificadas) y otros controles adicionales si se consideran necesarios. Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el SGSI: hay que recordar que los riesgos de seguridad de la información son riesgos de negocio y sólo la Dirección puede tomar decisiones sobre su aceptación o tratamiento. El riesgo residual es el que queda, aún después de haber aplicado controles (el "riesgo cero" no existe prácticamente en ningún caso). Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razón de su selección, los controles
actualmente implementados y la justificación de cualquier control del Anexo A excluido. Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.
Implementación
Definir
plan
de
tratamiento
de
riesgos:
que
identifique
las
acciones,
recursos,
responsabilidades y prioridades en la gestión de l os riesgos de seguridad de la i nformación. Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control identificados. Implementar los controles: todos los que se seleccionaron en la fase anterior. Formación y concienciación: de todo el personal en lo relativo a la seguridad de la información.
Desarrollo del marco normativo necesario: normas, manual es, procedimientos e instrucciones. Gestionar las operaciones del SGSI y todos los r ecursos que se le asignen. Implantar procedimientos y controles de detección y respuesta a incidentes de seguridad.
Seguimiento
Ejecutar procedimientos y controles de monitorización y revisión: para detectar errores en resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si las actividades de seguridad de la información están desarrollándose como estaba planificado, detectar y prevenir incidentes de seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para resolver incidentes de seguridad han sido eficaces.
Revisar regularmente la eficacia del SGSI: en función de los resultados de auditorías de seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los interesados. Medir la eficacia de los controles: para verificar que se cu mple con los requisitos de seguridad. Revisar regularmente la evaluación de riesgos: los cambios en la organización, tecnología, procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado. Realizar regularmente auditorías internas: para determinar si los controles, procesos y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de seguridad de la organización, están implementados y mantenidos con eficacia y tienen el rendimiento esperado. Revisar regularmente el SGSI por parte de la Dirección: para determinar si el alcanc e definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la política de seguridad o a los objetivos de seguridad de la información. Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorización y las revisiones. Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.
Me jora contin ua
Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase anterior. Acciones correctivas: para solucionar no conformidades detectadas. Acciones preventivas: para prevenir potenciales no conformidades. Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle. Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier acción, medida o cambio debe comprobarse siempre.
y
Aspectos clave
Fundamenta les Compromiso y apoyo de la Dirección de la organización. Definición clara de un alcance apropiado. Concienciación y formación del personal. Evaluación de riesgos adecuada a la organización. Compromiso de mejora continua. Establecimiento de políticas y normas. Organización y comunicación. Gestión adecuada de la continuidad de negocio, de los incidentes de seguridad, del cumplimiento legal y de la externalización. Integración del SGSI en la organización.
Factores de éxito La concienciación del empleado por l a seguridad. Principal objetivo a conseguir. Realización de comités a distintos niveles (operativos, de dirección, etc.) con gestión continua de no conformidades, incidentes de seguridad, acciones de mejora, tratamiento de riesgos... Creación de un sistema de gestión de incidencias que recoja n otificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados). La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles. La seguridad no es un producto, es un proceso. La seguridad no es u n proyecto, es una a ctividad continua y el programa de protección requiere el soporte de la organización para tener éxito. La seguridad debe ser inherente a los procesos de información y del negocio.
Riesgos Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc. Temor ante el cambio: resistencia de las personas. Discrepancias en los comités de dirección. Delegación de todas las responsabilidades en departamentos técnicos.
No asumir que la seguridad de la información es inherente a l os procesos de negocio. Planes de formación y concienciación inadecuados. Calendario de revisiones que no se puedan cumplir. Definición poco clara del alcance. Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo. Falta de comunicación de los progresos al personal de la organización. Conse jos básicos
Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de trabajo, un proceso de negocio clave, un único centro de proceso de datos o un área sensible concreta; una vez conseguido el éxito y observados los beneficios, ampliar gradualmente el alcance en sucesivas fases. Comprender en detalle el proceso de implantación: iniciarlo en base a cuestiones exclusivamente técnicas es un error frecuente que rápidamente sobrecarga de problemas la implantación; adquirir experiencia de otras implantaciones, asistir a cursos de formación o contar con asesoramiento de consultores externos especializados. Gestionar el proyecto fijando los diferentes hitos con sus o bjetivos y resultados. La autoridad y compromiso decidido de la Dirección de la empresa -incluso si al inicio el alcance se restringe a un alcance reducido- evitarán un muro de excusas para desarrollar las buenas prácticas, además de ser uno de los puntos fundamentales de la norma. La certificación como objetivo: aunque se puede alcanzar la conformidad con la norma sin certificarse, la certificación por un tercero asegura un mejor enfoque, un objetivo más claro y tangible y, por lo tanto, mejores opciones de alcanzar el éxito. Eso sí, la certificación es la "guinda del pastel", no es bueno qu e sea la meta en sí misma. El objetivo principal es la gestión de la seguridad de la información alineada con el negocio. No reinventar la rueda: apoyarse lo más posible en estándares, métodos y guías ya establecidos, así como en la experiencia de otras organizaciones. Servirse de lo ya implementado: otros sistemas de gestión (como ISO 9001 para la calidad o ISO 14001 para medio ambiente) ya implantados en la organización son útiles como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a responsables y auditores internos de otros sistemas de gestión.