RIESGOS Y SEGURIDAD

RIESGOS Y SEGURIDAD

La Norma ISO 27001 y la importancia de la Gestin de la Seguridad de la Informacin

Alcanzar la excelencia en la Seguridad de la Informacin. Un mejor servicio con una menor inversin

Introduccin
Se tiene una poltica formal y se han adoptado controles adecuados para la proteccin de los activos de la Organizacin? Cunto pagara la competencia por su informacin confidencial? Su base de datos est protegida? Para poder responder a estas preguntas de manera contundente, y poder protegernos de forma ptima hacia todos los ataques en cuanto a seguridad de la informacin, tenemos que tener muy presente en nuestra organizacin norma ISO 27001. La ISO 27001, Sistemas de Gestin de Seguridad de la Informacin es la norma que especifica los requisitos para planificar, implantar, revisar y mejorar...un sistema de gestin de seguridad de la informacin garantizando la confidencialidad, integridad y disponibilidad de la informacin, as como de los sistemas que la procesan. El objetivo principal de la implantacin de un SGSI es el control y mitigacin de los riesgos de seguridad de la informacin a los que se encuentra expuesta la organizacin y que pueden afectar gravemente a la empresa y a su entorno. La norma ISO 27001 adquiere un papel cada vez ms importante en las Organizaciones, debido a la gran dependencia que existe de los sistemas de informacin. La materializacin de las amenazas que afectan a los activos de la Organizacin, pueden ocasionar graves problemas. Este estndar internacional fue publicado como tal por la International Organization for Standardization y por la comisin International Electrotechnical Commission en octubre del ao 2005. Pero la ISO 27001, tal y como la conocemos hoy en da, ha sido resultado de la evolucin de otros estndares relacionados con la seguridad de la informacin. En el pasado ao 2013 se public la nueva versin que ha supuesto algunos cambios en su estructura, evaluacin y tratamiento de los riesgos. La norma ISO 27001 es certificable, teniendo un reconocimiento internacional. Cualquier organizacin que tenga implantado un SGSI puede solicitar una auditora a una entidad certificadora acreditada para obtener la certificacin del sistema segn ISO 27001.

La Norma ISO 27001 y la importancia de la Gestin de la Seguridad de la Informacin. Alcanzar la excelencia en la Seguridad de la Informacin. Un mejor servicio con una menor inversin.

Ms informacin Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org

RIESGOS Y SEGURIDAD

La ISO 27001 es perfectamente integrable con otros sistemas de gestin como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integracin se hace ms sencilla con esta nueva versin ISO 27001:2013, debido a que esta nueva versin de la norma est adaptada a los requisitos del Anexo SL., que es la nueva estructura ISO para cualquier sistema de gestin y que facilita la integracin con cualquier otro sistema de gestin de la organizacin, al tener exactamente la misma estructura.

Evolucin de la norma ISO 27001

BS 7799-1:1995 Mejores prcticas para ayudar a las empresas britnicas a administrar la Seguridad de la Informacin. Eran recomendaciones que no permitan la certifiacin ni estableca la forma de conseguirla.

1979

1995

Normas BS La British Standars Institution publica normas con el prefijo BS con carcter internacional. Estas son el origen de normas actuales como ISO 9001, ISO 14001 u OHSAS 18001.

Cmo implantar un SGSI en base a ISO 27001?

ISO 27001 posibilita la idea de implantar un sistema de gestin de seguridad de la informacin que pueda operar, monitorear, mantener y mejorar la seguridad de la informacin. La implantacin de un SGSI debe realizarse de acuerdo a unas pautas marcadas por la ISO 27001, realizndose de manera sistemtica, documentada y comunicada a toda la organizacin. Por ello, la implantacin de un Sistema de Gestin de Seguridad de la Informacin es til para cualquier tipo de empresa, ya que todas tienen un activo fundamental que es necesario proteger: Informacin (De trabajadores, clientes, proveedores, etc). Existen ciertos pasos previos importantes a la implantacin, y que la empresa debe afrontar, son los siguientes: Reunin inicial para identificar y conocer los procesos internos del negocio, documentacin de seguridad con objetivo de poder definir el alcance. Anlisis diferencial para estar al tanto el estado de situacin en seguridad de la informacin de donde se va a obtener una planificacin personalizada y las primeras lneas de actuacin. Con esto la empresa est lista para implantar el SGSI fundamentado ISO 27001.

1998

ISO/IEC 17799:2000 La organizacin Internacional para la Estandarizacin (ISO) tom la norma britnica BS 7799-1 que dio lugar a la llamada ISO 17799, sin experimentar grandes cambios.

2000

BS 7799-2:1999 Revisin de la anterior norma. Estrableca los requisitos para implantar un Sistema de Gestin de Seguridad de la Informacin certificable. En 1999 se revisa.

2002

ISO/IEC 27001:2005 e ISO/IEC 17799:2005 Aparece el estndar ISO 27001 como norma internacional certificable y se revisa la ISO 17799 dando lugar a la ISO 27001:2005.

2005

BS 7799-2:2002 Se public una nueva versin que permiti la acreditacin de empresas por una entidad certificadora de Reino Unido y en otros pases.

2007

ISO 27001: 2007/1M:2009 Se publica un documento adicional de modificaciones llamado ISO 27001:2007/1M:2009.

ISO 17799. Se renombra y pasa a ser la ISO 27002:2005 ISO/IEC 27001:2007. Se publica la nueva versin

2009

2013

Nueva ISO 27001:2013 Nueva ISO 27002:2013

La Norma ISO 27001 y la importancia de la Gestin de la Seguridad de la Informacin. Alcanzar la excelencia en la Seguridad de la Informacin. Un mejor servicio con una menor inversin.

Ms informacin Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org

RIESGOS Y SEGURIDAD

Con estos pasos previos la empresa est en condiciones de poder afrontar la implantacin de un Sistema de Gestin de Seguridad de la Informacin segn la ISO 27001: Alcance Toda implantacin ha de comenzar con la definicin del alcance del sistema, es decir, el mbito de la organizacin que va a trabajar bajo los requisitos de la norma. Es conveniente revisar el estado inicial de la organizacin en relacin a los puntos de la norma. Con esto se fija el punto de partida y de referencia para medir el progreso que se ir alcanzando con el SGSI. Es importante evaluar, aprobar y distribuir la poltica de seguridad que represente los objetivos y lneas a seguir en materia de seguridad de la informacin. Es indispensable que la Direccin est implicada para que el SGSI tenga xito, sta debe decidir, apoyar, aprobar, dirigir y dotar de recursos a la empresa para llegar al xito del sistema. Se crear una estructura organizativa de la seguridad interna, liderada por un responsable de seguridad, as como un comit de seguridad que tome decisiones de alto nivel relativas al SGSI. Anlisis de Riesgos El siguiente paso es elaborar un inventario de activos. Se han de identificar todos los activos de la entidad susceptibles de ser gestionados en relacin con la seguridad de la informacin. Se recomienda, para facilitar esta tarea, clasificar o categorizar los activos. Se debe calcular la probabilidad de ocurrencia de cada amenaza asociada a cada activo, el impacto que supondra para la Organizacin su materializacin y y definir un nivel de riesgo aceptable por la organizacin. A continuacin se debe pasar al tratamiento de los riesgos no aceptados por la organizacin. De esta etapa resultar un plan de tratamiento de riesgos.

PDCA Cycle

Ciclo PDCA
Revisin por Direccin: Revisin anual del SGSI, se es-

tablecen unos puntos de entrada y salidas a la revisin, los cuales vienen especificados en la propia norma
Auditora Interna: Una vez finalizada la implantacin y

antes de la auditora de certificacin, se hace una auditora interna para revisar la implantacin del sistema
Poltica de Seguridad: Normativa interna en relacin a

la Seguridad de la Informacin
Concienciacin: Todo el personal de la Organizacin

tiene que estar concienciado en materia de Seguridad de la Informacin

Acciones correctivas/preventivas: Para cada una de

las desviaciones, o incumplimientos, que se detecten en el Sistema, se tienen que llevar a cabo acciones correctivas/preventivas
Indicadores: Se establecen para medir la eficacia de los

controles de seguridad
Responsabilidades de la Direccin: La Direccin de la

Organizacin se tiene que comprometer formalmente a proporcionar todos los recursos necesarios para la implantacin del SGSI

La Norma ISO 27001 y la importancia de la Gestin de la Seguridad de la Informacin. Alcanzar la excelencia en la Seguridad de la Informacin. Un mejor servicio con una menor inversin.

Ms informacin Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org

RIESGOS Y SEGURIDAD

Revisin por la direccin y auditora interna La revisin es responsabilidad del comit de seguridad, y se propondrn cambios y mejoras. Mejora continua Mediante el anlisis de las no conformidades detectadas se pretende impedir que stas se vuelvan a producir, mejorando el SGSI ISO 27001. En definitiva, la implantacin de un SGSI basado en ISO 27001, supone el conocimiento, de la organizacin en su conjunto y de los riesgos a los que se encuentra expuesta. De manera que se asuman y se trabaje en su minimizacin y control de manera sistemtica, para mejorar continuamente.

La implantacin de un SGSI basado en ISO 27001, obviamente, supone una dedicacin e inversin de recursos, pero, por contra, aporta grandes beneficios a las empresas que deciden implantarlo. Con la aplicacin de ISO 27001, se obtienen importantes mejoras en la competitividad, al mismo tiempo que se mejora la imagen de su Organizacin. Todos estos beneficios vienen derivados del establecimiento de una operativa basada en la seguridad y la excelencia en el tratamiento de la informacin en la organizacin, que se traducen en un mejor servicio con una menor inversin.

Ventajas de implantar un SGSI basado en la ISO 27001

Garantizar la confidencialidad, integridad y disponibilidad de informacin sensible. Disminuir el riesgo, con la consiguiente reduccin de gastos asociados. Reducir la incertidumbre por el conocimiento de los riesgos e impactos asociados. Mejorar continuamente la gestin de la seguridad de la informacin. Garantizar la continuidad del negocio. Aumento de la competitividad por mejora de la imagen corporativa Incremento de la confianza de los stakeholders. Aumento de la rentabilidad, derivado de un control de los riesgos. Cumplir la legislacin vigente referente a seguridad de la informacin. Aumentar las oportunidades de negocio. Reducir los costos asociados a los incidentes. Mejorar la implicacin y participacin del personal en la gestin de la seguridad. Posibilidad de integracin con otros sistemas de gestin como ISO 9001, ISO14001, OHSAS 18001, entre otros. Mejorar los procesos y servicios prestados. Aumentar de la competitividad por mejora de la imagen corporativa.

La Norma ISO 27001 y la importancia de la Gestin de la Seguridad de la Informacin. Alcanzar la excelencia en la Seguridad de la Informacin. Un mejor servicio con una menor inversin.

Ms informacin Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org

RIESGOS Y SEGURIDAD

Nueva versin de ISO 27001:2013

La implantacin de un SGSI basado en ISO 27001, obviamente, supone una dedicacin e inversin de recursos, pero, por contra, aporta grandes beneficios a las empresas que deciden implantarlo. Con la aplicacin de ISO 27001, se obtienen importantes mejoras en la competitividad, al mismo tiempo que mejora la imagen de su Organizacin. Otras de las ventajas que aporta su implantacin son: 1. Desaparece el apartado Enfoque a procesos que estableca una metodologa de trabajo en base al ciclo PDCA de mejora continua, ofreciendo una mayor flexibilidad en cuanto a la eleccin de metodologas de trabajo de anlisis de riesgos o de mejora continua. 2. Cambio de la estructura de acuerdo al Anexo SL comn al resto de estndares ISO, lo que facilita la integracin entre sistemas. 3. Este mismo anexo SL, establece un nuevo modelo de estructura de la documentacin, que elimina la obligatoriedad de algunos documentos en la versin anterior, conservndose solamente como obligatoria la declaracin de aplicabilidad. 4. Se reducen los controles. Los controles establecidos en el Anexo A se eliminan, fusionan y aaden, vindose aumentado el nmero de dominios de 11 a 14 y reducindose el nmero de controles de 133 a 114. Destacamos un nuevo dominio que se crea sobre Relaciones con el Proveedor debido a la evolucin a la nube o Cloud Computing. 5. Enfoque del anlisis del riesgo en la fase de planificacin y operacin. A partir de ahora para identificar los riesgos no es necesario identificar los activos, las amenazas y sus vulnerabilidades. Sino que se parte del anlisis de riesgos para determinar los controles necesarios y compararlos con el Anexo A para que no se olvide ninguno aplicable.
Desaparece Enfoque a procesos

Cambio de estructura que facilita la integracin Nuevo modelo de estructura documental

Nueva ISO 27001:2013

Se reducen los controles

Enfoque del anlisis del riesgo en la fase de planificacin y operacin.

Todos estos beneficios vienen derivados del establecimiento de una operativa basada en la seguridad y la excelencia en el tratamiento de la informacin en la organizacin, que se traducen en un mejor servicio con una menor inversin.

La Norma ISO 27001 y la importancia de la Gestin de la Seguridad de la Informacin. Alcanzar la excelencia en la Seguridad de la Informacin. Un mejor servicio con una menor inversin.

Ms informacin Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org

RIESGOS Y SEGURIDAD

Conclusiones
La implantacin de un SGSI basado en ISO 27001, supone el conocimiento, de la organizacin en su conjunto, de los riesgos a los que se encuentra expuesta. De manera que se asuman y se trabaje en su minimizacin y control de manera sistemtica, para mejorar continuamente. La ISO 27001 es perfectamente integrable con otros sistemas de gestin como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integracin se hace ms sencilla con esta nueva versin ISO 27001:2013 Ya est vigente la nueva versin ISO 27001:2013 que sustituye a la anterior ISO 27001:2005. La ISO 27001 permite una operativa basada en la seguridad y la excelencia en el tratamiento de la informacin en la organizacin, que se traducen en un mejor servicio con una menor inversin.

La Plataforma Tecnolgica ISOTools le ayuda a automatizar su sistema ISO 27001

ISOTools es la Plataforma Tecnolgica ideal para facilitar la implementacin, mantenimiento y automatizacin de su sistema de gestin de Seguridad en la Informacin conforme a la norma ISO 27001:2013. As como dar cumplimiento de manera complementaria y sencilla a las buenas prcticas o controles establecidos en ISO 27002. ISOTools es una herramienta de gestin integral de la norma que cumple con el ciclo completo de la misma, desde las fases de inicio y planificacin del proyecto hasta el mantenimiento y mejora continua, pasando por el anlisis de riesgos, el cuadro de mando, la implantacin de procedimientos, etc. Con ISOTools puede integrar, en una misma Herramienta, este estndar con otros existentes en la organizacin como ISO 9001, ISO 14001, OHSAS 18001, entre otras.

La Norma ISO 27001 y la importancia de la Gestin de la Seguridad de la Informacin. Alcanzar la excelencia en la Seguridad de la Informacin. Un mejor servicio con una menor inversin.

Ms informacin Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org