Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes 2.ª edición
Luis Gómez Fernández Ana Andrés Álvarez
Título: Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes. 2.ª edición Autores: Luis Gómez Fernández y Ana Andrés Álvarez
© AENOR (Asociación Española de Normalización y Certificación), 2012 Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte, sin la previa autorización escrita de AENOR. ISBN: 978-84-8143-749-2 978-84-8143-749-2 Depósito Legal: M-15948-2012 Impreso en España - Printed in Spain Edita: AENOR Maqueta y diseño de cubierta: AENOR Imprime: AENOR
Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.
Génova, 6. 6. 28004 Madrid • Tel.: 902 102 201 201 • Fax: 913 103 695
[email protected] • www.aenor.es
Índice
Intro Introdu ducc cció ión n . .. . .. .. . .. .. . .. . .. .. . .. .. . .. .. . .. .. . .. . .. .. . .. .
9
Objeto Objeto de esta esta guía guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
1.
2.
Introd Introducci ucción ón a los Sistem Sistemas as de de Gesti Gestión ón de de Seguri Seguridad dad de la Info Informa rmació ción n (SGSI) (SGSI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
1.1. 1.1.
Defi Defini nici ción ón de un SGSI SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
1.2. 1.2.
El cicl ciclo o de de mej mejor ora a con conti tinu nua a . .. .. .. .. .. .. .. .. .. .. .. .. .. .. .
14
1.3. 1.3.
La Nor Norma ma UNEUNE-IS ISO/ O/IE IEC C 270 27001 01 . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3. 1.3.1. 1. Orige rigen n de de la la no norma rma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3. 1.3.2. 2. Objet bjeto o y camp campo o de de ap aplica licacción ión de de la la no norma . . . . . . . . . . . .
16 16 17
1.4. 1.4.
La Nor Norma ma UNEUNE-IS ISO/ O/IE IEC C 270 27002 02 . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4. 1.4.1. 1. Orig Origen en . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4. 1.4.2. 2. Obje Objeto to y cam campo po de apli aplica caci ción ón . . . . . . . . . . . . . . . . . . . . . .
17 17 18
1.5. 1.5.
El Esqu Esquem ema a Nac Nacio iona nall de de Seg Segur urid idad ad (ENS (ENS)) . . . . . . . . . . . . . . . . . . . . 1.5. 1.5.1. 1. Orig Origen en . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.5. 1.5.2. 2. Obje Objeto to y cam campo po de apli aplica caci ción ón . . . . . . . . . . . . . . . . . . . . . .
18 18 19
1.6. 1.6.
Térm Términ inos os y def defin inic icio ione ness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
Comp Compre rend nder er la No Norm rma a UNEUNE-ISO ISO/I /IEC EC 2700 27001 1 . .. .. .. .. .. .. .. .. .. ..
23
2.1. 2.1.
Requi equisi sito toss gen gener eral ales es del del sis siste tema ma de gest gestió ión n de de la la seg segur urid idad ad . . . . . . .
23
2.2. 2.2.
Esta Establ blec ecim imie ient nto o y gest gestió ión n del del SGSI SGSI . . . . . . . . . . . . . . . . . . . . . . . . . 2.2. 2.2.1. 1. Esta Establ blec ecim imie ient nto o del del SGSI SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2. 2.2.2. 2. Defi Defini nici ción ón del del alc alcan ance ce del del SGS SGSII . . . . . . . . . . . . . . . . . . . . . 2.2. 2.2.3. 3. Defi Defini nici ción ón de la polí políti tica ca de segu seguri rida dad d.................
25 25 27 28
4
Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes
2.2. 2.2.4. 4. 2.2. 2.2.5. 5. 2.2. 2.2.6. 6. 2.2. 2.2.7. 7. 2.2. 2.2.8. 8. 2.2. 2.2.9. 9. 2.2. 2.2.10 10.. 2.2. 2.2.11 11.. 2.2. 2.2.12 12.. 2.2. 2.2.13 13..
3.
Iden Identi tifi fica caci ción ón de los los act activ ivos os de info inform rmac ació ión n . . . . . . . . . . . . 28 Defi Defini nici ción ón del del enf enfoq oque ue del del aná análi lisi siss de de rie riesg sgos os . . . . . . . . . . . 29 Cómo Cómo esco escoge gerr la la met metod odol olog ogía ía del del aná análi lisi siss de de rie riesg sgos os . . . . . 30 Trata ratami mien ento to de los los rie riesg sgos os . . . . . . . . . . . . . . . . . . . . . . . . . 31 Sele Selecc cció ión n de de con contr trol oles es . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Gest Gestió ión n de de rie riesg sgo os . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Decl Declar arac ació ión n de apli aplica cabi bililida dad d . . . . . . . . . . . . . . . . . . . . . . . 32 Impl Implem emen enta taci ción ón y pue puest sta a en en mar march cha a del del SGSI SGSI . . . . . . . . . . . 33 Cont Contro roll y revi revisi sión ón del del SGS SGSII . . . . . . . . . . . . . . . . . . . . . . . . 33 Mant Manten enim imie ient nto o y mej mejor ora a del del SGSI SGSI . . . . . . . . . . . . . . . . . . . 34
2.3. 2.3.
Requi equisi sito toss de de doc docum umen enta taci ción ón . . . . . . . 2.3. 2.3.1. 1. Gene Genera rali lida dade dess . . . . . . . . . . . 2.3. 2.3.2. 2. Cont Contro roll de de doc docum umen ento toss . . . . . 2.3. 2.3.3. 3. Cont Contro roll de de reg regis istr tro os . . . . . . .
...................... .. .. .. .. .. .. .. .. .. .. .. ...................... .. .. .. .. .. .. .. .. .. .. ..
35 35 35 36
2.4. 2.4.
Comp Compro romi miso so de la dire direcc cció ión n . .. .. .. .. .. .. .. .. .. .. .. .. .. ..
36
2.5. 2.5.
Gest Gestió ión n de de los los recu recurs rsos os . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
2.6. 2.6.
Formac rmaciión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
2.7. 2.7.
Audi Audito torí rías as inte intern rnas as . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
2.8. 2.8.
Revis evisió ión n por por la dire direcc cció ión n . .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. . 2.8. 2.8.1. 1. Entr Entrad adas as a la la rev revis isió ión n . .. .. .. .. .. .. .. .. .. .. .. .. .. . 2.8. 2.8.2. 2. Sali Salida dass de de la la rev revis isió ión n.............................
39 40 40
2.9. 2.9.
Mejo Mejora ra cont contin inua ua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.9. 2.9.1. 1. Acc Acción ión co correct rectiv iva a . .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. 2.9. 2.9.2. 2. Acci Acción ón prev preven enti tiva va . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41 42 43
2.10 2.10.. El anex anexo oA ..........................................
44
Comp Compre rend nder er la No Norm rma a UNEUNE-ISO ISO/I /IEC EC 2700 27002 2 . .. .. .. .. .. .. .. .. .. ..
45
3.1. 3.1.
Valor alorac ació ión n y tra trata tami mien ento to del del rie riesg sgo o .........................
46
3.2. 3.2.
Polít olític ica a de de seg segur urid idad ad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
3.3. 3.3.
Orga Organi niza zaci ción ón de la segu seguri rida dad d . .. .. .. .. .. .. .. .. .. .. .. .. .. .
47
3.4. 3.4.
Gest Gestió ión n de de act activ ivos os . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
3.5. 3.5.
Segu Seguri rida dad d lig ligad ada a a los los rec recur urso soss hum human anos os . . . . . . . . . . . . . . . . . . . .
50
3.6. 3.6.
Segu Seguri rida dad d fís físic ica a y del del ent entor orno no . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
3.7. 3.7.
Gest Gestió ión n de de com comun unic icac acio ione ness y oper operac acio ione ness . . . . . . . . . . . . . . . . . . . .
53
5
Índice
3.8. 3.8.
Cont Contro roll de de acc acces eso o .....................................
59
3.9. 3.9.
Adqu Adquis isic ició ión, n, desa desarr rrol ollo lo y man mante teni nimi mien ento to de los los sis siste tema mass . . . . . . . . . .
64
3.10 3.10.. Gest Gestió ión n de de las las inci incide denc ncia iass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
67
3.11 3.11.. Gest Gestió ión n de de la la con conti tinu nuid idad ad del del neg negoc ocio io . . . . . . . . . . . . . . . . . . . . . .
68
3.12 3.12.. Cump Cumplilimi mien ento to . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
70
Defi Defini nici ción ón e imp imple leme ment ntac ació ión n de de un un SGS SGSII . . . . . . . . . . . . . . . . . . . . . . . .
73
4.1. 4.1.
El proy proyec ecto to . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
4.2. 4.2.
Docu Do cume ment ntac ació ión n del del SGSI SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
4.3. 4.3.
Polít olític ica a de de seg segur urid idad ad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
76
4.4. 4.4.
Inve Invent ntar ario io de acti activo voss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
4.5. 4.5.
Anál Anális isis is de ries riesgo goss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
79
4.6. 4.6.
Gest Gestió ión n de de rie riesg sgos os . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
83
4.7. 4.7.
Plan Plan de trat tratam amie ient nto o del del ries riesgo go . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
4.8. 4.8.
Proce rocedi dimi mien ento toss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
4.9. 4.9.
Formac rmaciión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
88
4.10 4.10.. Revi Revisi sión ón por por la la dir direc ecci ción ón . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
88
4.11 4.11.. Audi Audito torí ría a int inter erna na . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
88
4.12 4.12.. Regi Regist stro ross . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
5.
Proce roceso so de cert certif ific icac ació ión n . .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .
91
6.
Relac Relació ión n entr entre e los los ap apar artad tados os de la norm norma a y la do docum cument entac ació ión n del del siste sistema ma . .
93
7.
Corres Correspon ponden dencia cia entre entre las las Norma Normass UNE-EN UNE-EN ISO ISO 9001 9001:20 :2008, 08, UNE-EN UNE-EN ISO ISO 1400 14001:2 1:2004 004 y UNE-IS UNE-ISO/I O/IEC EC 2700 27001:2 1:2007 007 . . . . . . . . . . . .
97
4.
8.
Caso Caso práct práctico ico:: model modelo o de SGSI SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 8.1. 8.1.
Docume Docu ment ntac ació ión n de la pol polít ític ica a de segu seguri rida dad d ................... 8.1. 8.1.1. 1. Polít olític ica a de de seg segur urid idad ad de la info inform rmac ació ión n ............... 8.1. 8.1.2. 2. Defi Defini nici ción ón del del SGS SGSII . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.1. 8.1.3. 3. Orga Organi niza zaci ción ón e infr infrae aest stru ruct ctur ura a de segu seguri rida dad d ............ 8.1. 8.1.4. 4. Clas Clasif ific icac ació ión n de de la la inf infor orma maci ción ón . . . . . . . . . . . . . . . . . . . . . 8.1. 8.1.5. 5. Anál Anális isis is de de ries riesgo goss de segu seguri rida dad d.....................
101 101 101 101 101 101 103 103 104 104 104 104
8.2. 8.2.
Docume Documenta ntació ción n del del inve inventa ntario rio de activo activoss . . . . . . . . . . . . . . . . . . . . . 105 8.2. 8.2.1. 1. Proce roceso soss de de neg negoc ocio io . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 105
6
Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes
8.2. 8.2.2. 2. 8.2. 8.2.3. 3. 8.2. 8.2.4. 4.
Inve Invent ntar ario io de acti activo voss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 105 Rela Relaci ción ón proc proces eso o de de neg negoc ocioio-ac acti tivo voss . . . . . . . . . . . . . . . . . 106 106 Valor alorac ació ión n de de act activ ivos os . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 106
8.3. 8.3.
Docume Docu ment ntac ació ión n del del Aná Análilisi siss de ries riesgo goss . . . . . . . . . . . . . . . . . . . . . . 107 107 8.3. 8.3.1. 1. Valor alorac ació ión n del del ries riesgo go por por act activ ivos os . . . . . . . . . . . . . . . . . . . . 107 107 8.3. 8.3.2. 2. Trami ramita taci ción ón del del rie riesg sgo o . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 110
8.4. 8.4.
Docume Documenta ntació ción n de la Gest Gestión ión de ries riesgos gos . . . . . . . . . . . . . . . . . . . . . 110 8.4. 8.4.1. 1. Valor alorac ació ión n del del ries riesgo go por por act activ ivos os . . . . . . . . . . . . . . . . . . . . 110 110
8.5. 8.5.
Docume Docu ment ntac ació ión n de la Decl Declar arac ació ión n de apli aplica cabi bililida dad d . . . . . . . . . . . . . 114 114 8.5. 8.5.1. 1. Cont Contro role less apl aplic icad ados os . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 114
8.6. 8.6.
Docume Documenta ntació ción n del del Plan Plan de tratam tratamien iento to del del riesgo riesgo . . . . . . . . . . . . . . 8.6. 8.6.1. 1. Obje Objeti tivo vo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6. 8.6.2. 2. Alca Alcanc nce e ...................................... 8.6. 8.6.3. 3. Respo espons nsab abil ilid idad ades es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6. 8.6.4. 4. Tarea areass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6. 8.6.5. 5. Segu Seguim imie ient nto o ................................... 8.6. 8.6.6. 6. Obje Objeti tivo voss e ind indic icad ador ores es . . . . . . . . . . . . . . . . . . . . . . . . . . .
123 123 123 123 123 123 123 123 123 124 124 124 124
8.7. 8.7.
Docume Docu ment ntac ació ión n del del Pro Proce cedi dimi mien ento to de de audi audito torí rías as int inter erna nass . . . . . . . . . 8.7. 8.7.1. 1. Obje Objeti tivo vo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7. 8.7.2. 2. Alca Alcanc nce e ...................................... 8.7. 8.7.3. 3. Respo espons nsab abil ilid idad ades es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7. 8.7.4. 4. Desa Desarr rrol ollo lo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7. 8.7.5. 5. Requ Requis isit itos os de doc docum umen enta taci ción ón . . . . . . . . . . . . . . . . . . . . . . . 8.7. 8.7.6. 6. Refe Refere renc ncia iass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7. 8.7.7. 7. Anex Anexos os . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
125 125 125 125 125 125 125 125 126 126 128 128 128 128 128 128
8.8. 8.8.
Docume Documenta ntació ción n del del Proc Procedi edimie miento nto para para las las copias copias de seguri seguridad dad . . . . 8.8. 8.8.1. 1. Obje Objeti tivo vo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8. 8.8.2. 2. Alca Alcanc nce e ...................................... 8.8. 8.8.3. 3. Respo espons nsab abil ilid idad ades es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8. 8.8.4. 4. Térm Términ inos os y def defin inic icio ione ness . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8. 8.8.5. 5. Proce rocedi dimi mien ento to . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8. 8.8.6. 6. Requ Requis isit itos os de doc docum umen enta taci ción ón . . . . . . . . . . . . . . . . . . . . . . . 8.8. 8.8.7. 7. Refe Refere renc ncia iass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8. 8.8.8. 8. Anex Anexos os . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
131 131 131 132 132 132 132 132 132 132 132 134 134 134 134 134 134
7
Índice
9.
Comp Compre rend nder er el el Esqu Esquem ema a Nac Nacio iona nall de Segu Seguri rida dad d (ENS (ENS)) . . . . . . . . . . . . . 137 137 9.1. 9.1.
Gene Genera ralilida dade dess del del ENS ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 137
9.2. 9.2.
Princ rincip ipio ioss bási básico coss del del ENS ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 138
9.3. 9.3.
Requ Requis isit itos os míni mínimo moss de segu seguri rida dad d del del ENS ENS . . . . . . . . . . . . . . . . . . . . 9.3.1. 9.3.1. Organi Organizac zación ión e impl impleme ementa ntació ción n del del proces proceso o de de segu segurid ridad ad . . 9.3. 9.3.2. 2. Anál Anális isis is y ges gesti tión ón de los los rie riesg sgos os . . . . . . . . . . . . . . . . . . . . . 9.3. 9.3.3. 3. Gest Gestió ión n de de per perso sona nall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3. 9.3.4. 4. Profe rofesi sion onal alid idad ad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3. 9.3.5. 5. Auto Autori riza zaci ción ón y cont contro roll de de los los acce acceso soss . . . . . . . . . . . . . . . . . 9.3. 9.3.6. 6. Prote rotecc cció ión n de las las ins insta tala laci cion ones es . . . . . . . . . . . . . . . . . . . . . . 9.3. 9.3.7. 7. Adqu Adquis isic ició ión n de de nuev nuevos os prod produc ucto toss de de seg segur urid idad ad . . . . . . . . . . 9.3. 9.3.8. 8. Segu Seguri rida dad d por por defe defect cto o ............................ 9.3. 9.3.9. 9. Inte Integr grid idad ad y actu actual aliz izac ació ión n del del sist sistem ema a ................. 9.3.10 9.3.10.. Prote Protecci cción ón de de la infor informac mació ión n almac almacena enada da y en trán tránsit sito o .... 9.3.11. 9.3.11. Prevenc Prevención ión ante otros otros sistemas sistemas de informa información ción interc intercone onecta ctado doss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.12 9.3.12.. Regis Registro tro de activi actividad dad . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.13 9.3.13.. Incide Incidente ntess de seguri seguridad dad . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.14 9.3.14.. Contin Continui uidad dad de la la activ activida idad d ........................ 9.3.15 9.3.15.. Mejor Mejora a conti continua nua del proces proceso o de seguri seguridad dad . . . . . . . . . . . . . 9.3.16 9.3.16.. Sopor Soporte te al al cumpl cumplimi imient ento o ..........................
140 140 140 140 140 141 141 141 141 141 141 141 141 142 142 142 142 142 142 143
Otro Otross req requi uisi sito toss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.4. 9.4.1. 1. Comu Comuni nica caci cion ones es ele elect ctró róni nica cass . . . . . . . . . . . . . . . . . . . . . . . 9.4. 9.4.2. 2. Audi Audito torí ría a de de la la seg segur urid idad ad . . . . . . . . . . . . . . . . . . . . . . . . . 9.4. 9.4.3. 3. Esta Estado do de segu seguri rida dad d de de los los sist sistem emas as . . . . . . . . . . . . . . . . . . 9.4. 9.4.4. 4. Resp Respue uest sta a a inc incid iden ente tess de segu seguri rida dad d.................. 9.4. 9.4.5. 5. Norm Normas as de conf confor ormi mida dad d .......................... 9.4. 9.4.6. 6. Actu Actual aliz izac ació ión n .................................. 9.4. 9.4.7. 7. Cate Catego gori riza zaci ción ón de los los sis siste tema mass . . . . . . . . . . . . . . . . . . . . . 9.4. 9.4.8. 8. Forma ormaci ción ón . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
145 145 145 145 146 146 146 146 146 146 147 147 147 147 147 147 148 148
9.4. 9.4.
143 143 144 144 144 144
10. Implementa Implementación ción del del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 10.1. 10.1. El plan plan de de adecu adecuaci ación ón . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 10.2. 10.2. Adecua Adecuació ción n al ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 10.2.1 10.2.1.. Planif Planifica icació ción n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 10.2.2 10.2.2.. Implem Implement entaci ación ón . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
8
Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes
10.2.3 10.2.3.. Verific erificaci ación ón y valida validació ción n . . . . . . . . . . . . . . . . . . . . . . . . . . 154 10.2.4 10.2.4.. Actual Actualiza izació ción n y mejor mejora a conti continua nua . . . . . . . . . . . . . . . . . . . . . 155 11. Ejemplo Ejemplo práctico práctico:: plan plan de adecua adecuación ción . . . . . . . . . . . . . . . . . . . . . . . . . . 157 11.1. 11.1. Docume Documenta ntació ción n de la la polít política ica de segu segurid ridad ad . . . . . . . . . . . . . . . . . . . 157 11.2. 11.2. Docume Documenta ntació ción n de la catego categoría ría del del siste sistema ma . . . . . . . . . . . . . . . . . . . 158 11.2.1 11.2.1.. Criter Criterios ios de valo valorac ración ión de los los acti activos vos . . . . . . . . . . . . . . . . . 158 11.2.2 11.2.2.. Catego Categoriz rizaci ación ón de de siste sistemas mas . . . . . . . . . . . . . . . . . . . . . . . . 158 11.3. 11.3. Docume Documenta ntació ción n del del análi análisis sis de ries riesgos gos . . . . . . . . . . . . . . . . . . . . . . 11.3.1 11.3.1.. Metodo Metodolog logía ía de de análi análisis sis . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.2 11.3.2.. Valorac aloración ión de acti activos vos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.3 11.3.3.. Mapas Mapas de de riesg riesgos os . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.4 11.3.4.. Nivel Nivel de de riesg riesgo o acept aceptabl able e .........................
160 160 160 161 161
11.4. 11.4. Docume Documenta ntació ción n de la decl declara aració ción n de aplica aplicabil bilida idad d . . . . . . . . . . . . . 164 11.5. 11.5. Insufi Insuficie cienci ncias as del del sist sistema ema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 11.6. 11.6. Plan Plan de mejora mejora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 12. Biblio Bibliogra grafía fía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Normas Normas de refe referen rencia cia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Legislac Legislación ión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 Otros Otros documento documentoss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 Links de interés interés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 Norma UNE-ISO/IEC 27001:2007 27001:2007 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). (SGSI). Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Introducción
La información es el principal activo de muchas organizaciones y precisa ser protegida adecuadamente frente a amenazas que puedan poner en peligro la continuidad del negocio. En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan cada vez más con riesgos e inseguridades procedentes de una amplia variedad de contingencias, las cuales pueden dañar considerablemente tanto los sistemas de información como la información procesada y almacenada. Ante estas circunstancias, las organizaciones han de establecer estrategias y controles adecuados que garanticen una gestión segura de los procesos del negocio, primando la protección de la información. Para proteger la información de una manera coherente y eficaz es necesario implementar un Sistema de Gestión de Seguridad de la Información (SGSI). Este sistema es una parte del sistema global de gestión, basado en un análisis de los riesgos del negocio, que permite asegurar la información frente a la pérdida de: • Confiden Confidencial cialidad idad:: sólo accederá accederá a la informa información ción quien quien se encuentr encuentree autoriautorizado. • Integr Integrida idad: d: la inform informaci ación ón será será exacta exacta y complet completa. a. • Disponib Disponibilida ilidad: d: los usuarios usuarios autori autorizados zados tendr tendrán án acceso acceso a la informac información ión cuando lo requieran. La seguridad total es inalcanzable, pero mediante el proceso de mejora continua del sistema de seguridad se puede conseguir un nivel de seguridad altamente satisfactorio, que reduzca al mínimo los riesgos a los que se está expuesto y el impacto que ocasionarían si efectivamente se produjeran.
Objeto de esta guía
El objeto de esta publicación es facilitar la comprensión de los diversos conceptos involucrados en un sistema de gestión normalizado y contemplar las recomendaciones generales para la implementación implementación de un SGSI en una pyme, utilizando la norma de facto en el mercado internacional para ello, la Norma UNE-ISO/IEC 27001. También También se ofrece una visión general de cómo hacerlo en el caso de utilizar el modelo del Esquema Nacional de Seguridad (ENS), obligatorio por ley en nuestro país, para la protección de los sistemas que soportan la administración electrónica, visión también particularmente particul armente de d e interés interé s para pymes p ymes que qu e proporcionen proporcio nen servicios serv icios TIC a las Administraciones Públicas. Tanto Tanto la Norma UNE-ISO/IEC UNE-ISO/ IEC 27001 270 01 como el ENS, facilitan la mejora en seguridad, aunque pueden resultar de difícil aplicación para aquellos que no estén familiarizados con los conceptos que tratan. Esta guía no pretende ser preceptiva (existen infinidad de formas de implementar correctamente la norma y el ENS), sino informativa, proporcionando explicaciones básicas de los requisitos de la norma y orientando respecto a la manera en que se pueden cumplir esos requisitos. Generalmente, una primera aproximación a la norma puede infundir desconfianza en cuanto a la capacidad de la empresa para poder llevar a cabo todos los requerirequerimientos que expresa. Muchos términos no se utilizan en la actividad cotidiana de una pyme, tales como riesgos, amenazas, vulnerabilidades. Además, exige una serie de tareas desconocidas en la operativa habitual, tales como la realización de un análisis de riesgos y la selección de controles. Para complicar más las cosas, se hace referencia a la Norma UNE-ISO/IEC 27002, que especifica una amplia gama de controles de seguridad a implementar, en numerosos casos, con una gran carga de contenido técnico. Los objetivos, controles e indicaciones contenidos en la Norma
12
Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes
UNE-ISO/IEC 27002 pueden llegar a ser muy difíciles de valorar por un gestor que no cuente con la l a información o la formación adecuada, hecho que qu e le impediría decidir cabalmente sobre cuál es su relevancia para la empresa y las consecuencias de la implementación o no de un u n determinado control en ella. Esta guía pretende suplir semejantes carencias, proporcionando información detallada sobre el significado práctico de los requisitos de la norma y explicando con ejemplos cómo se pueden realizar, teniendo siempre en cuenta la situación inicial, los requisitos de seguridad de la empresa y, por supuesto, los recursos disponibles, ya que sin contar con esto ningún sistema de gestión se hallará bien diseñado y, por lo tanto, estará condenado al fracaso. Para una mejor comprensión de las implicaciones de los diversos requisitos de la norma, esta guía incluye un ejemplo práctico, basado en una empresa ficticia, con la documentación básica que debe incluir un SGSI e indicaciones sobre la información que debe recoger cada documento.
1
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
1.1. Definición de un SGSI Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. Esto significa que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar el control sobre lo que sucede en los sistemas de información y sobre la propia información que se maneja en la organización. Nos permitirá conocer mejor nuestra organización, cómo funciona y qué podemos hacer para que la situación mejore. La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluye tanto la organización como las políticas, la planificación, las responsabilidades, las prácticas, los procedimientos, los procesos p rocesos y los recursos. Es decir, tanto la documentación de soporte como las tareas que se realizan. Los sistemas de gestión que definen las normas ISO siempre están documentados, ya que, por un lado, es la mejor manera de formalizar normas e instrucciones y, por otro, son más fáciles de transmitir y comunicar, cosa que no sucedería si se confía en un traspaso de información verbal informal. La norma es compatible con el resto de las normas ISO para sistemas de gestión (UNE-EN ISO 9001 y UNE-EN ISO 14001) y poseen idéntica estructura y requisitos comunes, comunes, por lo que se recomienda integrar integrar el SGSI con el resto de los sistemas de gestión que existan en la empresa para no duplicar esfuerzos. Incluso cuando no exista un sistema de gestión formal, el amplio conocimiento actual de estos sistemas hace que las principales características características de la norma sean
14
Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes
comprensibles comprensibles para la mayoría de la gente, y que para explicarla en detalle sea suficiente con incidir en las diferencias fundamentales, a saber, que con un SGSI lo que tratamos es de gestionar la seguridad de la información de nuestra organización.
1.2. El ciclo de mejora continua Para establecer y gestionar un sistema de gestión de la seguridad de la información se utiliza el ciclo PDCA (conocido también como ciclo Deming), tradicional en los sistemas de gestión de la calidad (véase la figura 1.1). El ciclo PDCA es un concepto ideado originalmente por Shewhart, pero adaptado a lo largo del tiempo por algunos de los más sobresalientes personajes del mundo de la calidad. Esta metodología ha demostrado su aplicabilidad y ha permitido establecer la mejora continua en organizaciones de todas clases. El modelo PDCA o “Planificar-Hacer-Verificar-Actuar” ( Plan-Do-Check-Act Plan-Do-Check-Act , de sus siglas en inglés), tiene una serie de fases y acciones que permiten establecer un modelo de indicadores y métricas comparables en el tiempo, de manera que se pueda cuantificar el avance en la mejora de la organización: • Plan. Esta fase se corresponde con establecer el SGSI. Se planifica y diseña el programa, sistematizando sistematizando las políticas a aplicar en la organización, cuáles son los fines a alcanzar y en qué ayudarán a lograr los objetivos de negocio, qué medios se utilizarán para ello, los procesos de negocio y los activos que los soportan, cómo se enfocará el análisis de riesgos y los criterios que se seguirán para gestionar las contingencias de modo coherente con las políticas y objetivos de seguridad. • Do. Es la fase en la que se implementa y pone en funcionamiento el SGSI. Las políticas y los controles escogidos para cumplirlas se implementan mediante recursos técnicos, procedimientos o ambas cosas a la vez, y se asignan responsables a cada tarea para comenzar a ejecutarlas según las instrucciones. • Check. Esta fase es la de monitorización y revisión del SGSI. Hay que controlar que los procesos se ejecutan como se ha establecido, de manera eficaz y eficiente, alcanzando los objetivos definidos para ellos. Además, hay que verificar el grado de cumplimiento de las políticas pol íticas y procedimientos, procedimien tos, identificando los fallos que pudieran existir y, y, hasta donde sea posible, su origen, mediante revisiones y auditorías.
1. Introducción a los Sistemas de Gestión de Seguridad Seguridad de la Información (SGSI)
15
• Act . Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuando las acciones preventivas y correctivas necesarias para rectificar los fallos, detectados en las auditorías internas y revisiones del SGSI, o cualquier otra información relevante para permitir la mejora permanente del SGSI. La mejora continua es un proceso en sí mismo. Debe entenderse como la mejora progresiva de los niveles de eficiencia y eficacia de una organización en un proceso continuo de aprendizaje, aprendizaje, tanto de sus actividades como de los resultados resultados propios. Dado que la norma se encuentra enfocada hacia la mejora continua, es un esfuerzo innecesario tratar de implementar un SGSI perfecto en un primer proyecto de este tipo. El objetivo debería ser diseñar un SGSI que se ajuste lo más posible a la realidad de la organización, que contemple las medidas de seguridad mínimas e imprescindibles para proteger la información y cumplir con la norma, pero que consuma pocos recursos e introduzca el menor número de cambios posibles. De esta manera, el SGSI se podrá integrar de una forma no traumática en la operativa habitual de la organización, dotándola de herramientas con las que hasta entonces no contaba que puedan demostrar su eficacia a corto plazo. La aceptación de este primer SGSI es un factor de éxito fundamental. Permitirá Permitirá a la organización ir mejorando su seguridad paulatinamente y con escaso esfuerzo. esfuerzo.
Tomar acciones acci ones correctivas c orrectivas y preventivas
Revisar y auditar el SGSI
Act
Plan
Check
Do
Figura 1.1. Ciclo PDCA
Definir política y alcance
Implementar el SGSI
16
Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes
1.3. La Norma UNE-ISO/IEC 27001 1.3.1. Origen de la norma ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización normalización a nivel mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de las normas internacionales a través de comités técnicos establecidos por las organizaciones respectivas para realizar acuerdos en campos específicos de la actividad técnica. Los comités co mités técnicos de ISO e IEC colaboran en los campos de interés mutuo. En el campo de la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, el denominado ISO/IEC JTC 1 ( Joint Technical Technical Committee 1). Los borradores de estas normas internacionales, adoptadas por la unión de este comité técnico, son enviados a los organismos de las diferentes naciones para su votación. La publicación como norma internacional requiere la aprobación de, por lo menos, el 75% de los organismos nacionales que emiten su voto. La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Instituto de Normas Británico (como BS 7799), y adoptada bajo la supervisión del subcomité de técnicos de seguridad del comité técnico ISO/IEC JTC 1, en paralelo con su aprobación por los organismos nacionales miembros de ISO e IEC. Una vez que fue publicada la Norma ISO/IEC 17799-1 (actualmente se corresponde con la Norma ISO/IEC 27002), Reino Unido (BSI) y España (AENOR) elevaron al comité internacional sus normas n ormas nacionales sobre las especificaciones de los sistemas de gestión de la seguridad de la información (SGSI), BS 7799-2 y UNE 71502 respectivamente, siendo estas normas el origen de lo que finalmente acabo publicándose como norma internacional ISO/IEC 27001 en el año 2005, que fue adoptada como norma española UNE-ISO/IEC 27001 en el año 2007, tras un periodo de convivencia con la norma anteriormente mencionada. Actualmente Actual mente,, tanto ta nto la norma n orma ISO/IEC ISO/ IEC 27001 2700 1 como co mo la l a ISO/IE IS O/IEC C 27002 27 002 están en proceso de revisión internacional, y se espera que se publiquen las nuevas versiones a lo largo del año 2013. Como se ha comentado anteriormente, este estándar internacional adopta también el modelo Plan-Do-Check-Act decir, se basa en un ciclo de mejora con Plan-Do-Check-Act (PDCA), es decir, tinua que consiste en planificar, desarrollar, comprobar y actuar en consecuencia con lo que se haya detectado al efectuar las comprobaciones. De esta manera se conseguirá ir refinando la gestión, haciéndola más eficaz y efectiva.
1. Introducción a los Sistemas de Gestión de Seguridad Seguridad de la Información (SGSI)
17
1.3.2. Objeto y campo de aplicación de la norma La Norma UNE-ISO/IEC 27001, como el resto de las normas aplicables a los sistemas de gestión, está pensada para que se emplee en todo tipo de organizaciones (empresas privadas y públicas, entidades sin ánimo de lucro, etc.), sin importar el tamaño o la actividad. Esta norma especifica los requisitos para la creación, implementación, funcionamiento, supervisión, revisión, mantenimiento y mejora de un SGSI documentado, teniendo en cuenta cu enta los riesgos empresariales generales de la organización. Es decir, decir, explica cómo diseñar un SGSI y establecer los controles de seguridad, de acuerdo con las necesidades de una organización o de partes de la misma, pero no aclara mediante qué procedimientos se ponen en práctica. Por ejemplo, uno de los principales requisitos es la realización de un análisis de riesgos con unas determinadas características de objetividad y precisión, pero no aporta indicaciones de cuál es la mejor manera de llevar a cabo dicho análisis. Puede ejecutarse con una herramienta comercial, con una aplicación diseñada expresamente para la empresa, mediante reuniones, entrevistas, tablas o cualquier otro método que se estime oportuno. Todos Todos estos recursos recursos servirán para cumplir la norma, siempre siempre y cuando se observen los requisitos de objetividad del método, los resultados sean repetibles y la metodología se documente.
1.4. La Norma UNE-ISO/IEC 27002 1.4.1. Origen La Norma UNE-ISO/IEC 27002 Tecnología de la información. Código de buenas prácticas prác ticas para la l a gestión ges tión de la seguridad segur idad de d e la infor i nformació mación n , ha sido elaborada por el AEN/CTN AEN/ CTN 71/SC 71/S C 27 Técnicas de seguridad que pertenece al comité técnico con junto ISO/IEC JTC 1/SC 27 Tecnología de la información. En ambas normas el contenido es idéntico, diferenciándose únicamente en la numeración, que ha sido modificada en el marco de la creación de la familia de normas ISO 27000. Esta norma se está desarrollando dentro de una familia de normas internacionales sobre Sistemas de Gestión de la Seguridad de la Información (SGSI). Tal familia incluye normas internacionales sobre requisitos, gestión del riesgo, métricas y mediciones, así como una guía de implementación de los sistemas de gestión de la seguridad de la información. Dicha familia de normas tiene un esquema de numeración que utilizará los números de la serie 27000.
18
Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes
1.4.2. Objeto y campo campo de aplicación La Norma UNE-ISO/IEC 27002 establece las directrices y principios generales para el comienzo, la implementación, el mantenimiento y la mejora de la gestión de la seguridad de la información en una organización. Es un catálogo de buenas prácticas, obtenido a partir de la experiencia y colaboración de numerosos participantes, los cuales han alcanzado un consenso acerca de los objetivos comúnmente aceptados para la gestión de la seguridad de la información. Los objetivos de control y los controles de esta norma internacional tienen como fin servir de guía para el desarrollo de pautas de seguridad internas y prácticas efectivas de gestión de la seguridad. Por ello, la elección de los controles permanece sujeta a lo detectado en un análisis de riesgos previo, previo, y el grado de implementación de cada uno de los controles se llevará a cabo de acuerdo a los requisitos de seguridad identificados y a los recursos disponibles de la organización para alcanzar así un balance razonable entre seguridad y coste.
1.5. El Esquema Nacional de Seguridad (ENS) (ENS) 1.5.1. Origen La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Ser vicios Públicos está siendo el motor y la guía de la l a administración electrónica. Esta ley ha dado paso a una nueva etapa en la gestión de la Administración Pública, impulsando la adopción de los medios tecnológicos actualmente disponibles para realizar tareas de gestión y facilitando a los ciudadanos el acceso a la Administración Pública en contextos más adecuados a la realidad social. Esta ley, en su artículo 1 reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos con la misma validez que por los medios tradicionales, y estipula que éstas utilicen las tecnologías de la información asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias. También determina que la herramienta para conseguir este objetivo será el Esquema Nacional de Seguridad, que establecerá una política de seguridad en la utilización de medios electrónicos, y contará con unos principios básicos y una serie de requisitos mínimos que permitirán una protección adecuada de los sistemas y la información. El ENS está regulado por el Real Decreto 3/2010, de 8 de enero, que recoge los requisitos técnicos y organizativos que se deben cumplir para proteger la información dentro del ámbito de aplicación del mismo. Por Por tanto, se puede decir que trata
1. Introducción a los Sistemas de Gestión de Seguridad Seguridad de la Información (SGSI)
19
la protección de la información y de los servicios en el ámbito de la administración electrónica y que, a la luz de principios y requisitos generalmente reconocidos, exige la gestión continuada de la seguridad, aplicando un sistema de gestión de seguridad de la información.
1.5.2. Objeto y campo campo de aplicación El objeto del ENS es garantizar la seguridad de los servicios prestados mediante medios electrónicos, de manera que los ciudadanos puedan realizar cualquier trámite con la confianza de que va a tener validez jurídica plena y que sus datos van a ser tratados de manera segura. Toda Toda la Administrac Admini stración ión Pública Públ ica española, españ ola, Administra Admin istración ción General Gene ral del Estado, Estad o, Administraciones Administraci ones de las Comunidades Comu nidades Autónomas, Administracion Admin istraciones es Locales, Lo cales, así a sí como las entidades de derecho público vinculadas o dependientes de las mismas, están sujetas al cumplimiento de los requisitos del ENS. Su ámbito de aplicación son los sistemas de información, los datos, las comunicaciones y los servicios electrónicos, que permitan a los ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través de medios electrónicos.
1.6. Términos y definiciones Para cumplir con las intenciones de este documento, conviene aclarar el significado de ciertos términos y definiciones: • Activo Cualquier bien que tiene valor para la organización. [ISO/IEC 13335-1:2004] • Dispo isponi nibi bili lida dad d La propiedad de ser accesible y utilizable por una entidad autorizada. [ISO/IEC 13335-1:2004] • Conf onfiden idenci cial alid idad ad La propiedad por la que la información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados. [ISO/IEC 13335-1:2004]
20
Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes
• Segu Seguri rida dad d de la infor informa maci ción ón La preservación de la confidencialidad, la integridad y la disponibilidad disponibil idad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. repudio. [ISO/IEC 17799:2005] • Evento Evento de segu segurid ridad ad de la la infor informac mación ión La ocurrencia detectada en un estado de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información, un fallo de las salvaguardas o una situación desconocida hasta el momento y que puede ser relevante para la seguridad. [ISO/IEC TR 18044:2004] • Incide Incidente nte de segu segurid ridad ad de de la inform informaci ación ón Un único evento o una serie de eventos de seguridad de la información, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones empresariales empresariales y de amenazar la seguridad de la información. [ISO/IEC TR 18044:2004] • Sistema Sistema de Gestión Gestión de la Segurida Seguridad d de la Informació Información n (SGSI) (SGSI) [ Information Informat ion Security Management System, ISMS] La parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, sar, mantener y mejorar la seguridad de la información. el sistema de gestión incluye la estructura organizativa. las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. Nota:
• Integridad La propiedad de salvaguardar la exactitud y completitud de los activos. [ISO/IEC 13335-1:2004] • Rie Riesgo sgo res resid idua uall Riesgo remanente que existe después de que se hayan tornado las medidas de seguridad. [ISO/IEC Guide 73:2002]
1. Introducción a los Sistemas de Gestión de Seguridad Seguridad de la Información (SGSI)
21
• Acept ceptac ació ión n del del rie riesg sgo o La decisión de aceptar un riesgo. riesgo. [ISO/IEC Guide 73:2002] • Anál Anális isis is de ries riesgo goss Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos. [ISO/IEC Guide 73:2002] • Eval Evalua uaci ción ón de ries riesgo goss El proceso general de análisis y estimación de los riesgos. [ISO/IEC Guide 73:2002] • Esti Estima maci ción ón de de rie riesg sgos os El proceso de comparación del riesgo estimado con los criterios de riesgo, para así determinar la importancia del riesgo. riesgo. [ISO/IEC Guide 73:2002] • Gest Gestió ión n de de rie riessgos gos Actividades Activi dades coordinadas coordi nadas para dirigir dirig ir y controlar cont rolar una organizació organiz ación n con co n respecto a los riesgos. [ISO/IEC Guide 73:2002] • Trata ratami mien ento to de rie riesg sgos os El proceso de selección e implementación de las medidas encaminadas a modificar los riesgos. [ISO/IEC Guide 73:2002]. en esta norma internacional, el término “control” se utiliza como sinónimo de “medida de seguridad.” Nota:
• Decl Declar arac ació ión n de apl aplic icab abil ilid idad ad Declaración documentada que describe los objetivos de control y los controles que son relevantes para el SGSI de la organización y aplicables al mismo. mismo. los objetivos de control y los controles se basan en los resultados y conclusiones de la evaluación de riesgos y en los procesos de tratamiento del riesgo, en los requisitos legales o reglamentarios, en las obligaciones contractuales y en las necesidades empresariales de la organización en materia de seguridad de la información.
Nota:
