Las empresas publicas y privadas manejan una gran cantidad de datos importantes y confidenciales por lo que es necesario contar con un sistema de seguridad. El SGSI basada en las normas del ISO 27001 permite evaluar todo tipo de riesgos o amenazas que puedan poner en peligro a una organización. También permite establecer el control y estrategias adecuadas para minimizar los posibles riesgos. A través de los siguientes pasos cada una con diversas acciones. Planificar: definir políticas de seguridad, establecer el alcance del sistema de gestión de la seguridad. Hacer: Implantar el plan de gestión de riesgos, implantar el SGSI, implantar los controles. Controlar: Revisar internamente el SGSI, poner en marcha indicadores y métricas. Actuar: Adoptar acciones correctas y acciones de mejora. Las normas del ISO 27001 establecen una serie de fases para elaborar un SGSI. 1. Análisis y evaluación de riesgo. 2. Implementación de controles. 3. Definición de un plan de tratamiento de los riesgos o esquemas de mejora. 4. Alcance de la gestión. 5. Contexto de la organización. 6. Partes interesadas. 7. Fijación y medición de objetivos. 8. Proceso documental. 9. Autorías internas y externas. Análisis y evaluación de riesgos Para poder establecer una evaluación y planificación de riesgos es necesario comenzar identificar y analizar las posibles amenazas que pongan en riesgo los activos de la entidad ya sea recursos humanos y material. A pesar de las medidas de seguridad implementadas, no es posible eliminar totalmente el riego debido a diferentes motivos que se presentan en la organización ya sea presupuestal o algún descuido del personal que labora en esa área. Por lo que es necesario definir una estructura organizacional seleccionando al personal idóneo que se responsabilice de sus actos. Implementación de controles Cada empresa u organización es libres de implementar más puntos de control según sea necesario, pero siempre alineándose a lo que realmente pide las normas del ISO 27001. Definición de un plan de tratamiento de los riesgos o esquema de mejor Luego de haber realizado un análisis, es necesario definir un esquema de mejora para permitirle a la empresa eliminar, mitigar o trasladar el riesgo. Es necesario establecer un rango para cada control, el proceso de cambio y mejora continua hace posible comprobar la eficacia de los controles y si es necesario realizar modificaciones necesarias. El alcance de la gestión Para la implementación de un SGSI es importante definir el alcance que tendrá, porque no todas las organizaciones cuentan con igual número de personal o áreas de suma importancia. Por lo general, las áreas que se deben considerar son las que en primera instancia ayudan a cumplir su objetivo principal. Contexto de organización El contexto organización es importante analizarlo ya que nos ayudara a identificar los posibles problemas internos y externos, así como sus debilidades, fortalezas, oportunidades y amenazas. Partes interesadas Fijación y medición de objetivos En importante fijarnos un objetivo para la gestión de riesgos que debe ser medible y ser comunicados a todo el personal que labora en la organización además cada objetivo debe estar asociado a indicadores que permitan realizar un seguimiento del cumplimiento de las actividades. El proceso documental El proceso documental es muy estricto exigiendo a las organizaciones que cuenten con un procedimiento documentado para gestionar la información. Este documento puede ser presentado en diversos formatos y pueda ser consultado en cualquier momento Auditorías internas y revisión por la dirección Las auditorías internas se llevan a cabo cada cierto tiempo para poder determinar si se encuentra en un estado idóneo. Se pueden realizar dos tipos de auditorías internas de gestión y controles, en el que se supervisan el liderazgo y el entorno y en el que se auditan los 113 controles. RESUMEN ISO 27002 La norma ISO 27002 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información para poder preservar la confidencialidad, integridad y disponibilidad. Describe 14 dominios principales cada uno con métricas exactas que deben ser observadas para su correcta implantación. 1. Políticas de seguridad. 2. Organización de la seguridad de la información. 3. Seguridad de los recursos humanos. 4. Gestión de los activos. 5. Control de accesos. 6. Cifrado. 7. Seguridad física y ambiental. 8. Seguridad en las operaciones. 9. Seguridad de las telecomunicaciones. 10. Adquisición de los sistemas, desarrollo y mantenimiento. 11. Relaciones con los proveedores. 12. Gestión de los incidentes que afectan a la seguridad de la información. 13. Aspectos de seguridad de la información para la gestión de la continuidad del negocio. 14. Cumplimiento. RESUMEN ISO 27003 Las normas del ISO 27003 tiene como objeto y campo de aplicación los aspectos críticos necesarios para el diseño e implementación exitosa de un sistema de gestión de la seguridad de la seguridad de acuerdo al ISO 27001. La estructura general del ISO 27003, explica la implementación de un SGSI enfocado en la iniciación, planificación y definición del proyecto que contiene 5 fases: a. Obtener la aprobación gerencial para iniciar un proyecto SGSI. b. Definir el acceso del SGSI y la política del SGSI. c. Realizar un análisis de la organización. d. Planificar el tratamiento del riego. e. Diseñar el SGSI. Fases para la implantación del SGSI son 4: Definir el alcance, límites y políticas del SGSI Realizar un análisis de requerimientos de seguridad de la información Realizar una evaluación del riesgo y planificar el tratamiento del riesgo Diseñar el SGSI Como paso final realizar un análisis de la organización identificando los activos de la organización dentro del alcance de SGSI y evaluando la seguridad de la implementación en relación a los recursos humanos. RESUMEN ISO 27004 Las normas del ISO se basan sobre el modelo PDCA que es un ciclo continuo. Una organización debe describir como se interrelacionan e interactúan el SGSI y las mediciones desarrollando guías que aseguran, aclaren y documenten esta relación con todos los detalles posibles. Los objetivos de estos procesos son: Evaluar el proceso de la implementación de los controles de seguridad. Evaluar la eficiencia del SGSI, incluyendo continuas mejoras. Proveer estados de seguridad que guíen las revisiones del SGSI facilitando mejoras a la seguridad y nuevas entradas para auditar. Comunicar valores de seguridad a la organización. Servir como entradas al plan de análisis y tratamiento de riesgos. El modelo y métodos para las mediciones de la seguridad Se debe desarrollas un programa de como ejecutar las mediciones de la seguridad de la información las mediciones que aporten decisiones, o determina la eficiencia de la seguridad será el éxito de este programa. Este modelo debe describir como estos atributos son cuantificados y convertidos a indicadores que prevean bases para la toma de decisiones, como primer paso es definir los atributos más relevantes y para definir como los atributos deben ser medidos se utilizan dos métodos. Subjetivos que indican el recurso humano y objetivos basada en una regla numérica. Podemos asociar la medición con determinadas escalas: Nominal: Los valores son categóricos. Ordinal: los valores son ordenados. Intervalos: Se poseen máximos y mínimos con distancias entre ellos. Ratio: Tienen escalas de distancias, relacionadas a mediciones. Definición y selección de las mediciones en un SGSI La norma específica también, como desarrollar las mediciones para poder cuantificar la eficiencia de un SGSI, sus procesos y controles. Ya que podrían ser requeridos para. Mejora de procesos, certificación de un SGSI, mejoras en la implementación, operaciones o gestión organizacional, etc. Los pasos a seguir para el establecimiento y operación de un programa de mediciones son: Definición de los procesos El desarrollo de mediciones aplicables La implementación del programa Revisión de mediciones Operaciones de las mediciones del SGSI Las mediciones deben encontrarse totalmente integradas al SGSI incluyendo: Definición y documentación de roles y responsabilidades que