ISO 27000.es

El portal de ISO 27001 en Español


Últimos Tweets

DestacaDos

Ciclo Deming (2005)- mejora continua

Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001:2005, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.


doc_iso27000_all_archivos/image002.gif


Arranque Inicial

Compromiso:

doc_iso27000_all_archivos/image003.gif Una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización.

No sólo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciación en la plantilla que compone la organización (formalmente dentro del alcance) y que lleva consigo el proceso hacen necesario el impulso constante de la Dirección.

Planificación, fechas, responsables:

doc_iso27000_all_archivos/image004.gif

Como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

Plan = Establecer con planificación

Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión. Es importante que defina los límites del SGSI ya que no tiene por qué abarcar toda la organización; de hecho, es recomendable empezar por un alcance limitado). Es importante disponer de un mapa de procesos de negocio, definir claramente los interfaces con el exterior del alcance, determinar las terceras partes (proveedores, clientes...) que tienen influencia sobre la seguridad de la información del alcance, crear mapas de alto nivel de redes y sistemas, definir las ubicaciones físicas, disponer de organigramas organizativos, definir claramente los requisitos legales y contractuales relacionados con seguridad de la información, etc.


La política del SGSI es normalmente un documento muy general, una especie de "declaración de intenciones" de la Dirección pero que:

– incluya el marco general y los objetivos de seguridad de la información de la organización;

– tenga en cuenta los requisitos de negocio además de considerar los requerimientos legales o contractuales relativos a la seguridad de la información;

– esté alineada con el contexto estratégico de gestión de riesgos de la organización en el que se establecerá y mantendrá el SGSI;

– establezca los criterios con los que se va a evaluar el riesgo;

– esté aprobada por la dirección.


Definir el enfoque de evaluación de riesgos mediante una metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio. El riesgo nunca es totalmente eliminable -ni sería rentable hacerlo-, por lo que es necesario definir una estrategia de aceptación de riesgo estableciendo criterios de aceptación del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de la metodología es que los resultados obtenidos sean comparables y repetibles para evitar grados de subjetividad que falseen la valoración de los riesgos. Existen numerosas metodologías estandarizadas para la evaluación de riesgos y la organización puede optar por una de ellas, aplicar una combinación de varias o crear la suya propia. ISO 27001:2005 no impone ninguna para que cada organización pueda aplicar la que estime más oportuno y funcional según el esfuerzo de análisis y recursos que pueda aplicar. Como documento de apoyo ISO 27005 sí profundiza en directrices sobre la materia.


Identificar los riesgos:

– identificar todos aquellos activos de información que tienen algún valor para la organización que están dentro del alcance del SGSI y a sus responsables directos, denominados propietarios;

– identificar las amenazas relevantes asociadas a los activos identificados;

– identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas;

– identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo.


Analizar y evaluar los riesgos:

- evaluar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información;

– evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estén implementados;

– estimar los niveles de riesgo;

– determinar, según los criterios de aceptación de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado.


Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:

– aplicar controles adecuados (mitigación);

– aceptar el riesgo (de forma consciente), siempre y cuando se siga cumpliendo con las políticas y criterios establecidos para la aceptación de los riesgos;

– evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan;

– transferir el riesgo total o parcialmente a terceros, p. ej., compañías aseguradoras o proveedores de outsourcing.


doc_sgsi_all_archivos/image005.jpg

Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001:2005 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluación del riesgo.


Aprobar por parte de la dirección tanto los riesgos residuales como la implantación y uso del SGSI. Hay que recordar que los riesgos de seguridad de la información son riesgos de negocio y sólo la Dirección puede tomar decisiones sobre su aceptación final en cada revisión y/o acciones de tratamiento. El riesgo residual es el que queda, aún después de haber aplicado controles (el "riesgo cero" no existe prácticamente en ningún caso).


Definir una declaración de aplicabilidad también llamada SOA (Statement of Applicability) que incluya:

– los objetivos de control y controles seleccionados y los motivos para su elección;

- los objetivos de control y controles que actualmente ya están implantados;

– los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusión; este es un mecanismo que permite, además, detectar posibles omisiones involuntarias.


En relación a los controles de seguridad, el estándar ISO 27002 (antigua ISO 17799) proporciona una completa guía de implantación que contiene 133 controles, según 39 objetivos de control agrupados en 11 dominios. Esta norma es referenciada en ISO 27001:2005, en su segunda cláusula, en términos de “documento indispensable para la aplicación de este documento” y deja abierta la posibilidad de incluir controles adicionales en el caso de que la guía no contemplase todas las necesidades particulares.


Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.



Do

doc_iso27000_all_archivos/image005.gif

Implementar y utilizar el SGSI

Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información.


Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignación de recursos, responsabilidades y prioridades.


Implementar los controles anteriormente seleccionados que lleven a los objetivos de control.


• Definir un sistema de métricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles.


• Procurar programas de formación y concienciación en relación a la seguridad de la información a todo el personal.


Gestionar las operaciones del SGSI.


Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la información.


• Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad.


• Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones.



Check

doc_iso27000_all_archivos/image006.gif

Monitorizar y Revisar

La organización deberá:


• Ejecutar procedimientos de monitorización y revisión para:

– detectar a tiempo los errores en los resultados generados por el procesamiento de la información;

– identificar brechas e incidentes de seguridad;

– ayudar a la dirección a determinar si las actividades desarrolladas por las personas y dispositivos tecnológicos para garantizar la seguridad de la información se desarrollan en relación a lo previsto;

– detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores;

– determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.


• Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la política y objetivos del SGSI, los resultados de auditorías de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas.


• Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad.


• Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organización, la tecnología, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc.-.


• Realizar periódicamente auditorías internas del SGSI en intervalos planificados para determinar si los controles, procesos y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001:2005, el entorno legal y los requisitos y objetivos de seguridad de la organización, están implementados y mantenidos con eficacia y tienen el rendimiento esperado.


Revisar el SGSI por parte de la dirección periódicamente para garantizar que el alcance definido sigue siendo el adecuado y posibles mejoras en el proceso del SGSI, a la política de seguridad o a los objetivos de seguridad de la información.


Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorización y revisión.


Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.



Act

doc_iso27000_all_archivos/image007.gif

Mantener y Mejorar

La organización deberá regularmente:


• Implantar en el SGSI las mejoras identificadas.


• Realizar las acciones preventivas y correctivas adecuadas para prevenir potenciales no conformidades antes de que se produzcan y solucionar no conformidades detectadas y materializadas. en relación a la claúsula 8 de ISO 27001:2005 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones.


Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder.


• Asegurarse que las mejoras introducidas alcanzan los objetivos previstos: la eficacia de cualquier acción, medida o cambio debe comprobarse siempre.


PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Téngase en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber actividades de implantación que ya se lleven a cabo cuando otras de planificación aún no han finalizado; o que se monitoricen controles que aún no están implantados en su totalidad.