ISO 27000.es

El portal de ISO 27001 en Español


FASK's

DestacaDos SGSI

Nuestra Selección

Amplio número de referencias relacionadas con esta sección y sus enlaces correspondientes a las fuentes originales.


Recursos


Intro

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001.

La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.

doc_sgsi_all_archivos/image001.jpg

Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información.

¿Qué es un SGSI?

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.


En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.


La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.

Fundamentos:

Para garantizar que la seguridad de la información es gestionada correctamente se debe identificar inicialmente su ciclo de vida y los aspectos relevantes adoptados para garantizar su C-I-D:

  • Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
  • Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
  • Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

En base al conocimiento del ciclo de vida de cada información relevante se debe adoptar el uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.

doc_sgsi_all_archivos/image006.gif

Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.



Uso

La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.

gestión de riesgos

Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos.


El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones variables del entorno, la protección adecuada de los objetivos de negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones.


El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomando en consideración también a clientes y proveedores de bienes y servicios.


El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.


El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.

Beneficios

  • Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
  • Reducción del riesgo de pérdida, robo o corrupción de información.
  • Los clientes tienen acceso a la información a través medidas de seguridad.
  • Los riesgos y sus controles son continuamente revisados.
  • Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
  • Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.
  • Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).
  • Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
  • Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
  • Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
  • Confianza y reglas claras para las personas de la organización.
  • Reducción de costes y mejora de los procesos y servicio.
  • Aumento de la motivación y satisfacción del personal.
  • Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
doc_iso27000_all_archivos/image009.jpg



Implantar (versión 2005)

Documentación Mínima

  • Política y objetivos de seguridad.
  • Alcance del SGSI.
  • Procedimientos y controles que apoyan el SGSI.
  • Descripción de la metodología de evaluación del riesgo.
  • Informe resultante de la evaluación del riesgo.
  • Plan de tratamiento de riesgos.
  • Procedimientos de planificación, manejo y control de los procesos de seguridad de la información y de medición de la eficacia de los controles.
  • Registros.
  • Declaración de aplicabilidad (SOA -Statement of Applicability-).

  • Procedimiento de gestión de toda la documentación del SGSI.

Enfoque a Procesos

doc_certificacion_all_archivos/image001.jpg

Implantación del SGSI

doc_certificacion_all_archivos/image005.jpg


El diagrama anterior ha sido desarrollado por miembros internacionales del "Foro de implementación ISO 27k" (click sobre la imagen para descargar en formato pdf).


Las actividades más relevantes son:


  • Implicación de la Dirección.
  • Alcance del SGSI y política de seguridad.
  • Inventario de todos los activos de información.
  • Metodología de evaluación del riesgo.
  • Identificación de amenazas, vulnerabilidades e impactos.
  • Análisis y evaluación de riesgos.
  • Selección de controles para el tratamiento de riesgos.
  • Aprobación por parte de la dirección del riesgo residual.
  • Declaración de aplicabilidad.
  • Plan de tratamiento de riesgos.
  • Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo.
  • Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo.
  • Formación y concienciación en lo relativo a seguridad de la información a todo el personal.
  • Monitorización constante y registro de todas las incidencias.
  • Realización de auditorías internas.
  • Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance.
  • Mejora continua del SGSI.

PLAN

DO

CHECK

ACT



Aspectos Clave

Fundamentales

• Compromiso y apoyo de la Dirección de la organización que debe:

  • Establecer una política de seguridad de la información.
  • Asegurarse de que se establecen objetivos y planes del SGSI.
  • Establecer roles y responsabilidades de seguridad de la información.
  • Comunicar a la organización tanto la importancia de lograr los objetivos de seguridad de la información y de cumplir con la política de seguridad, como sus responsabilidades legales y la necesidad de mejora continua.
  • Asignar suficientes recursos al SGSI en todas sus fases.
  • Decidir los criterios de aceptación de riesgos y sus correspondientes niveles.
  • Asegurar que se realizan auditorías internas.
  • Realizar revisiones del SGSI, como se detalla más adelante.

• Definición clara de un alcance apropiado.

• Concienciación y formación del personal en base a:

  • Determinar las competencias necesarias para el personal que realiza tareas en aplicación del SGSI.
  • Satisfacer dichas necesidades por medio de formación o de otras acciones como, p. ej., contratación de personal ya formado.
  • Evaluar la eficacia de las acciones realizadas.
  • Mantener registros de estudios, formación, habilidades, experiencia y cualificación.
  • Además, la dirección debe asegurar que todo el personal relevante esté concienciado de la importancia de sus actividades de seguridad de la información y de cómo contribuye a la consecución de los objetivos del SGSI.

• Evaluación de riesgos adecuada a la organización.

• Compromiso de mejora continua por la dirección con evidencias de:

  • Al menos una vez al año, revisar el SGSI, para asegurar que continúe siendo adecuado y eficaz. Para ello, debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que se pueden enumerar:
  • Resultados de auditorías y revisiones del SGSI.
  • Observaciones de todas las partes interesadas.
  • Consideración de técnicas, productos o procedimientos que pudieran ser útiles para mejorar el rendimiento y eficacia del SGSI.
  • Información sobre el estado de acciones preventivas y correctivas.
  • Identificación de vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos anteriores.
  • Resultados de las mediciones de eficacia.
  • Revisión de estado de las acciones iniciadas a raíz de revisiones anteriores de la dirección.
  • Valoración de cualquier cambio que pueda afectar al SGSI.
  • Recomendaciones de mejora.
  • Toma de decisiones y acciones positivas.
  • Mejora de la eficacia del SGSI.
  • Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.
  • Modificación de los procedimientos y controles que afecten a la seguridad de la información, en respuesta a cambios internos o externos en los requisitos de negocio, requerimientos de seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios de aceptación de riesgos.
  • Necesidades de recursos.
  • Mejora de la forma de medir la efectividad de los controles.

• Establecimiento de políticas y normas.

• Organización y comunicación.

• Gestión adecuada de la continuidad de negocio, de los incidentes de seguridad, del cumplimiento legal y de la externalización.

• Integración del SGSI en la organización.

Factores de éxito

• La concienciación del empleado por la seguridad. Principal objetivo a conseguir.

• Realización de comités a distintos niveles (operativos, de dirección, etc.) con gestión continua de no conformidades, incidentes de seguridad, acciones de mejora, tratamiento de riesgos...

• Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados).

• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.

• La seguridad no es un producto, es un proceso.

• La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito.

• La seguridad debe ser inherente a los procesos de información y del negocio.

Riesgos

• Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc.

• Temor ante el cambio: resistencia de las personas.

• Discrepancias en los comités de dirección.

• Delegación de todas las responsabilidades en departamentos técnicos.

• No asumir que la seguridad de la información es inherente a los procesos de negocio.

• Planes de formación y concienciación inadecuados.

• Calendario de revisiones que no se puedan cumplir.

• Definición poco clara del alcance.

• Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo.

• Falta de comunicación de los progresos al personal de la organización.

Consejos básicos

• Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de trabajo, un proceso de negocio clave, un único centro de proceso de datos o un área sensible concreta; una vez conseguido el éxito y observados los beneficios, ampliar gradualmente el alcance en sucesivas fases.

• Comprender en detalle el proceso de implantación: iniciarlo en base a cuestiones exclusivamente técnicas es un error frecuente que rápidamente sobrecarga de problemas la implantación; adquirir experiencia de otras implantaciones, asistir a cursos de formación o contar con asesoramiento de consultores externos especializados.

• Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.

• La autoridad y compromiso decidido de la Dirección de la empresa -incluso si al inicio el alcance se restringe a un alcance reducido- evitarán un muro de excusas para desarrollar las buenas prácticas, además de ser uno de los puntos fundamentales de la norma.

• La certificación como objetivo: aunque se puede alcanzar la conformidad con la norma sin certificarse, la certificación por un tercero asegura un mejor enfoque, un objetivo más claro y tangible y, por lo tanto, mejores opciones de alcanzar el éxito. Eso sí, la certificación es la "guinda del pastel", no es bueno que sea la meta en sí misma. El objetivo principal es la gestión de la seguridad de la información alineada con el negocio.

• No reinventar la rueda: apoyarse lo más posible en estándares, métodos y guías ya establecidos, así como en la experiencia de otras organizaciones.

• Servirse de lo ya implementado: otros sistemas de gestión (como ISO 9001 para la calidad o ISO 14001 para medio ambiente) ya implantados en la organización son útiles como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a responsables y auditores internos de otros sistemas de gestión.

• Reservar la dedicación necesaria diaria o semanal: el personal involucrado en el proyecto debe ser capaz de trabajar con continuidad en el proyecto.

• Registrar evidencias: deben recogerse evidencias al menos tres meses antes del intento de certificación para demostrar que el SGSI funciona adecuadamente. No precipitarse en conseguir la certificación.

• Mantenimiento y mejora continua: tener en consideración que el mantenimiento y la mejora del SGSI a lo largo de los años posteriores requeriran también esfuerzo y recursos.