Академический Документы
Профессиональный Документы
Культура Документы
2. edicin
Ttulo: Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes. 2. edicin Autores: Luis Gmez Fernndez y Ana Andrs lvarez
AENOR (Asociacin Espaola de Normalizacin y Certificacin), 2012 Todos los derechos reservados. Queda prohibida la reproduccin total o parcial en cualquier soporte, sin la previa autorizacin escrita de AENOR. ISBN: 978-84-8143-749-2 Depsito Legal: M-15948-2012 Impreso en Espaa - Printed in Spain Edita: AENOR Maqueta y diseo de cubierta: AENOR Imprime: AENOR
Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.
Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695 comercial@aenor.es www.aenor.es
ndice
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Objeto de esta gua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Introduccin a los Sistemas de Gestin de Seguridad de la Informacin (SGSI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1. 1.2. 1.3. Definicin de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . El ciclo de mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.1. Origen de la norma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.2. Objeto y campo de aplicacin de la norma . . . . . . . . . . . . La Norma UNE-ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.1. Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.2. Objeto y campo de aplicacin . . . . . . . . . . . . . . . . . . . . . . El Esquema Nacional de Seguridad (ENS) . . . . . . . . . . . . . . . . . . . . 1.5.1. Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.5.2. Objeto y campo de aplicacin . . . . . . . . . . . . . . . . . . . . . . Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9 11 13 13 14 16 16 17 17 17 18 18 18 19 19 23 23 25 25 27 28
1.4.
1.5.
1.6. 2.
Comprender la Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . 2.1. 2.2. Requisitos generales del sistema de gestin de la seguridad . . . . . . . Establecimiento y gestin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1. Establecimiento del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.2. Definicin del alcance del SGSI . . . . . . . . . . . . . . . . . . . . . 2.2.3. Definicin de la poltica de seguridad . . . . . . . . . . . . . . . . .
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
2.2.4. 2.2.5. 2.2.6. 2.2.7. 2.2.8. 2.2.9. 2.2.10. 2.2.11. 2.2.12. 2.2.13. 2.3.
Identificacin de los activos de informacin . . . . . . . . . . . . Definicin del enfoque del anlisis de riesgos . . . . . . . . . . . Cmo escoger la metodologa del anlisis de riesgos . . . . . Tratamiento de los riesgos . . . . . . . . . . . . . . . . . . . . . . . . . Seleccin de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Declaracin de aplicabilidad . . . . . . . . . . . . . . . . . . . . . . . Implementacin y puesta en marcha del SGSI . . . . . . . . . . . Control y revisin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . Mantenimiento y mejora del SGSI . . . . . . . . . . . . . . . . . . .
28 29 30 31 31 32 32 33 33 34 35 35 35 36 36 37 38 38 39 40 40 41 42 43 44 45 46 47 47 49 50 51 53
Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.2. Control de documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.3. Control de registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Compromiso de la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de los recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Auditoras internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Revisin por la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.8.1. Entradas a la revisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.8.2. Salidas de la revisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.9.1. Accin correctiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.9.2. Accin preventiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.9.
2.10. El anexo A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Comprender la Norma UNE-ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . 3.1. 3.2. 3.3. 3.4. 3.5. 3.6. 3.7. Valoracin y tratamiento del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Organizacin de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Seguridad ligada a los recursos humanos . . . . . . . . . . . . . . . . . . . . Seguridad fsica y del entorno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de comunicaciones y operaciones . . . . . . . . . . . . . . . . . . . .
ndice
3.8. 3.9.
59 64 67 68 70 73 73 75 76 77 79 83 86 86 88 88 88 89 91 93 97
3.10. Gestin de las incidencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.11. Gestin de la continuidad del negocio . . . . . . . . . . . . . . . . . . . . . . 3.12. Cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Definicin e implementacin de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . 4.1. 4.2. 4.3. 4.4. 4.5. 4.6. 4.7. 4.8. 4.9. El proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Documentacin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Plan de tratamiento del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . Procedimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.10. Revisin por la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.11. Auditora interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.12. Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. 6. 7. 8. Proceso de certificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Relacin entre los apartados de la norma y la documentacin del sistema . . Correspondencia entre las Normas UNE-EN ISO 9001:2008, UNE-EN ISO 14001:2004 y UNE-ISO/IEC 27001:2007 . . . . . . . . . . . .
Caso prctico: modelo de SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 8.1. Documentacin de la poltica de seguridad . . . . . . . . . . . . . . . . . . . 8.1.1. Poltica de seguridad de la informacin . . . . . . . . . . . . . . . 8.1.2. Definicin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.1.3. Organizacin e infraestructura de seguridad . . . . . . . . . . . . 8.1.4. Clasificacin de la informacin . . . . . . . . . . . . . . . . . . . . . 8.1.5. Anlisis de riesgos de seguridad . . . . . . . . . . . . . . . . . . . . . 101 101 101 103 104 104
8.2.
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Relacin proceso de negocio-activos . . . . . . . . . . . . . . . . . 106 Valoracin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Documentacin del Anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . 107 8.3.1. Valoracin del riesgo por activos . . . . . . . . . . . . . . . . . . . . 107 8.3.2. Tramitacin del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Documentacin de la Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . 110 8.4.1. Valoracin del riesgo por activos . . . . . . . . . . . . . . . . . . . . 110 Documentacin de la Declaracin de aplicabilidad . . . . . . . . . . . . . 114 8.5.1. Controles aplicados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Documentacin del Plan de tratamiento del riesgo . . . . . . . . . . . . . . 8.6.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6.4. Tareas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6.5. Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6.6. Objetivos e indicadores . . . . . . . . . . . . . . . . . . . . . . . . . . . Documentacin del Procedimiento de auditoras internas . . . . . . . . . 8.7.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.4. Desarrollo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.5. Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . 8.7.6. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.7. Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Documentacin del Procedimiento para las copias de seguridad . . . . 8.8.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.4. Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.5. Procedimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.6. Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . 8.8.7. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.8. Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 123 123 123 123 124 124 125 125 125 125 126 128 128 128 131 131 132 132 132 132 134 134 134
8.7.
8.8.
ndice
9.
Comprender el Esquema Nacional de Seguridad (ENS) . . . . . . . . . . . . . 137 9.1. 9.2. 9.3. Generalidades del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Principios bsicos del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Requisitos mnimos de seguridad del ENS . . . . . . . . . . . . . . . . . . . . 9.3.1. Organizacin e implementacin del proceso de seguridad . . 9.3.2. Anlisis y gestin de los riesgos . . . . . . . . . . . . . . . . . . . . . 9.3.3. Gestin de personal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.4. Profesionalidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.5. Autorizacin y control de los accesos . . . . . . . . . . . . . . . . . 9.3.6. Proteccin de las instalaciones . . . . . . . . . . . . . . . . . . . . . . 9.3.7. Adquisicin de nuevos productos de seguridad . . . . . . . . . . 9.3.8. Seguridad por defecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.9. Integridad y actualizacin del sistema . . . . . . . . . . . . . . . . . 9.3.10. Proteccin de la informacin almacenada y en trnsito . . . . 9.3.11. Prevencin ante otros sistemas de informacin interconectados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.12. Registro de actividad . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.13. Incidentes de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.14. Continuidad de la actividad . . . . . . . . . . . . . . . . . . . . . . . . 9.3.15. Mejora continua del proceso de seguridad . . . . . . . . . . . . . 9.3.16. Soporte al cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . Otros requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.4.1. Comunicaciones electrnicas . . . . . . . . . . . . . . . . . . . . . . . 9.4.2. Auditora de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 9.4.3. Estado de seguridad de los sistemas . . . . . . . . . . . . . . . . . . 9.4.4. Respuesta a incidentes de seguridad . . . . . . . . . . . . . . . . . . 9.4.5. Normas de conformidad . . . . . . . . . . . . . . . . . . . . . . . . . . 9.4.6. Actualizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.4.7. Categorizacin de los sistemas . . . . . . . . . . . . . . . . . . . . . 9.4.8. Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 140 140 141 141 141 141 142 142 142 143 143 143 144 144 144 144 145 145 146 146 146 147 147 147 148
9.4.
10. Implementacin del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 10.1. El plan de adecuacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 10.2. Adecuacin al ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 10.2.1. Planificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 10.2.2. Implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
10.2.3. Verificacin y validacin . . . . . . . . . . . . . . . . . . . . . . . . . . 154 10.2.4. Actualizacin y mejora continua . . . . . . . . . . . . . . . . . . . . . 155 11. Ejemplo prctico: plan de adecuacin . . . . . . . . . . . . . . . . . . . . . . . . . . 157 11.1. Documentacin de la poltica de seguridad . . . . . . . . . . . . . . . . . . . 157 11.2. Documentacin de la categora del sistema . . . . . . . . . . . . . . . . . . . 158 11.2.1. Criterios de valoracin de los activos . . . . . . . . . . . . . . . . . 158 11.2.2. Categorizacin de sistemas . . . . . . . . . . . . . . . . . . . . . . . . 158 11.3. Documentacin del anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . 11.3.1. Metodologa de anlisis . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.2. Valoracin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.3. Mapas de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.4. Nivel de riesgo aceptable . . . . . . . . . . . . . . . . . . . . . . . . . 160 160 160 161 161
11.4. Documentacin de la declaracin de aplicabilidad . . . . . . . . . . . . . 164 11.5. Insuficiencias del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 11.6. Plan de mejora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 12. Bibliografa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Normas de referencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Legislacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 Otros documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 Links de inters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 Norma UNE-ISO/IEC 27001:2007 Tecnologa de la informacin. Tcnicas de seguridad. Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Introduccin
La informacin es el principal activo de muchas organizaciones y precisa ser protegida adecuadamente frente a amenazas que puedan poner en peligro la continuidad del negocio. En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan cada vez ms con riesgos e inseguridades procedentes de una amplia variedad de contingencias, las cuales pueden daar considerablemente tanto los sistemas de informacin como la informacin procesada y almacenada. Ante estas circunstancias, las organizaciones han de establecer estrategias y controles adecuados que garanticen una gestin segura de los procesos del negocio, primando la proteccin de la informacin. Para proteger la informacin de una manera coherente y eficaz es necesario implementar un Sistema de Gestin de Seguridad de la Informacin (SGSI). Este sistema es una parte del sistema global de gestin, basado en un anlisis de los riesgos del negocio, que permite asegurar la informacin frente a la prdida de: Confidencialidad: slo acceder a la informacin quien se encuentre autorizado. Integridad: la informacin ser exacta y completa. Disponibilidad: los usuarios autorizados tendrn acceso a la informacin cuando lo requieran. La seguridad total es inalcanzable, pero mediante el proceso de mejora continua del sistema de seguridad se puede conseguir un nivel de seguridad altamente satisfactorio, que reduzca al mnimo los riesgos a los que se est expuesto y el impacto que ocasionaran si efectivamente se produjeran.
El objeto de esta publicacin es facilitar la comprensin de los diversos conceptos involucrados en un sistema de gestin normalizado y contemplar las recomendaciones generales para la implementacin de un SGSI en una pyme, utilizando la norma de facto en el mercado internacional para ello, la Norma UNE-ISO/IEC 27001. Tambin se ofrece una visin general de cmo hacerlo en el caso de utilizar el modelo del Esquema Nacional de Seguridad (ENS), obligatorio por ley en nuestro pas, para la proteccin de los sistemas que soportan la administracin electrnica, visin tambin particularmente de inters para pymes que proporcionen servicios TIC a las Administraciones Pblicas. Tanto la Norma UNE-ISO/IEC 27001 como el ENS, facilitan la mejora en seguridad, aunque pueden resultar de difcil aplicacin para aquellos que no estn familiarizados con los conceptos que tratan. Esta gua no pretende ser preceptiva (existen infinidad de formas de implementar correctamente la norma y el ENS), sino informativa, proporcionando explicaciones bsicas de los requisitos de la norma y orientando respecto a la manera en que se pueden cumplir esos requisitos. Generalmente, una primera aproximacin a la norma puede infundir desconfianza en cuanto a la capacidad de la empresa para poder llevar a cabo todos los requerimientos que expresa. Muchos trminos no se utilizan en la actividad cotidiana de una pyme, tales como riesgos, amenazas, vulnerabilidades. Adems, exige una serie de tareas desconocidas en la operativa habitual, tales como la realizacin de un anlisis de riesgos y la seleccin de controles. Para complicar ms las cosas, se hace referencia a la Norma UNE-ISO/IEC 27002, que especifica una amplia gama de controles de seguridad a implementar, en numerosos casos, con una gran carga de contenido tcnico. Los objetivos, controles e indicaciones contenidos en la Norma
12
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
UNE-ISO/IEC 27002 pueden llegar a ser muy difciles de valorar por un gestor que no cuente con la informacin o la formacin adecuada, hecho que le impedira decidir cabalmente sobre cul es su relevancia para la empresa y las consecuencias de la implementacin o no de un determinado control en ella. Esta gua pretende suplir semejantes carencias, proporcionando informacin detallada sobre el significado prctico de los requisitos de la norma y explicando con ejemplos cmo se pueden realizar, teniendo siempre en cuenta la situacin inicial, los requisitos de seguridad de la empresa y, por supuesto, los recursos disponibles, ya que sin contar con esto ningn sistema de gestin se hallar bien diseado y, por lo tanto, estar condenado al fracaso. Para una mejor comprensin de las implicaciones de los diversos requisitos de la norma, esta gua incluye un ejemplo prctico, basado en una empresa ficticia, con la documentacin bsica que debe incluir un SGSI e indicaciones sobre la informacin que debe recoger cada documento.
14
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
comprensibles para la mayora de la gente, y que para explicarla en detalle sea suficiente con incidir en las diferencias fundamentales, a saber, que con un SGSI lo que tratamos es de gestionar la seguridad de la informacin de nuestra organizacin.
15
Act. Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuando las acciones preventivas y correctivas necesarias para rectificar los fallos, detectados en las auditoras internas y revisiones del SGSI, o cualquier otra informacin relevante para permitir la mejora permanente del SGSI. La mejora continua es un proceso en s mismo. Debe entenderse como la mejora progresiva de los niveles de eficiencia y eficacia de una organizacin en un proceso continuo de aprendizaje, tanto de sus actividades como de los resultados propios. Dado que la norma se encuentra enfocada hacia la mejora continua, es un esfuerzo innecesario tratar de implementar un SGSI perfecto en un primer proyecto de este tipo. El objetivo debera ser disear un SGSI que se ajuste lo ms posible a la realidad de la organizacin, que contemple las medidas de seguridad mnimas e imprescindibles para proteger la informacin y cumplir con la norma, pero que consuma pocos recursos e introduzca el menor nmero de cambios posibles. De esta manera, el SGSI se podr integrar de una forma no traumtica en la operativa habitual de la organizacin, dotndola de herramientas con las que hasta entonces no contaba que puedan demostrar su eficacia a corto plazo. La aceptacin de este primer SGSI es un factor de xito fundamental. Permitir a la organizacin ir mejorando su seguridad paulatinamente y con escaso esfuerzo.
Act
Plan
Check
Do
Implementar el SGSI
16
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
17
18
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
19
la proteccin de la informacin y de los servicios en el mbito de la administracin electrnica y que, a la luz de principios y requisitos generalmente reconocidos, exige la gestin continuada de la seguridad, aplicando un sistema de gestin de seguridad de la informacin.
20
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Seguridad de la informacin La preservacin de la confidencialidad, la integridad y la disponibilidad de la informacin, pudiendo, adems, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. [ISO/IEC 17799:2005] Evento de seguridad de la informacin La ocurrencia detectada en un estado de un sistema, servicio o red que indica una posible violacin de la poltica de seguridad de la informacin, un fallo de las salvaguardas o una situacin desconocida hasta el momento y que puede ser relevante para la seguridad. [ISO/IEC TR 18044:2004] Incidente de seguridad de la informacin Un nico evento o una serie de eventos de seguridad de la informacin, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones empresariales y de amenazar la seguridad de la informacin. [ISO/IEC TR 18044:2004] Sistema de Gestin de la Seguridad de la Informacin (SGSI) [Information Security Management System, ISMS] La parte del sistema de gestin general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la informacin.
Nota: el sistema de gestin incluye la estructura organizativa. las polticas, las actividades de planificacin, las responsabilidades, las prcticas, los procedimientos, los procesos y los recursos.
Integridad La propiedad de salvaguardar la exactitud y completitud de los activos. [ISO/IEC 13335-1:2004] Riesgo residual Riesgo remanente que existe despus de que se hayan tornado las medidas de seguridad. [ISO/IEC Guide 73:2002]
21
Aceptacin del riesgo La decisin de aceptar un riesgo. [ISO/IEC Guide 73:2002] Anlisis de riesgos Utilizacin sistemtica de la informacin disponible para identificar peligros y estimar los riesgos. [ISO/IEC Guide 73:2002] Evaluacin de riesgos El proceso general de anlisis y estimacin de los riesgos. [ISO/IEC Guide 73:2002] Estimacin de riesgos El proceso de comparacin del riesgo estimado con los criterios de riesgo, para as determinar la importancia del riesgo. [ISO/IEC Guide 73:2002] Gestin de riesgos Actividades coordinadas para dirigir y controlar una organizacin con respecto a los riesgos. [ISO/IEC Guide 73:2002] Tratamiento de riesgos El proceso de seleccin e implementacin de las medidas encaminadas a modificar los riesgos. [ISO/IEC Guide 73:2002].
Nota: en esta norma internacional, el trmino control se utiliza como sinnimo de medida de seguridad.
Declaracin de aplicabilidad Declaracin documentada que describe los objetivos de control y los controles que son relevantes para el SGSI de la organizacin y aplicables al mismo.
Nota: los objetivos de control y los controles se basan en los resultados y conclusiones de la evaluacin de riesgos y en los procesos de tratamiento del riesgo, en los requisitos legales o reglamentarios, en las obligaciones contractuales y en las necesidades empresariales de la organizacin en materia de seguridad de la informacin.