4.SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACIN 4.

1 REQUISITOS GENERALES

La organizacin debe establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado, en el contexto de las actividades globales del negocio de la organizacin y de los riesgos que enfrenta. Para los propsitos de esta norma, el proceso usado se basa en el modelo PHVA que se ilustra en la Figura 1. 4.2 ESTABLECIMIENTO Y GESTION DEL SGSI

4.2.1 Establecimiento del SGSI La organizacin debe: a) Definir el alcance y limites del SGSI en trminos de las caractersticas del negocio, la organizacin, su ubicacin, sus archivos, tecnologa, e incluir los detalles y justificacin de cualquier exclusin del alcance (vase el numeral 1.2). Definir una poltica de SGSI en trminos de las caractersticas del negocio, la organizacin, su ubicacin, sus activos y tecnologa, que: 1) incluya un marco de referencia para fijar objetivos y establezca un sentido general de direccin y principios para la accin con relacin a la seguridad de la informacin. 2) Tenga en cuenta los requisitos del negocio, los legales o reglamentos, y las obligaciones de seguridad contractuales; 3) Est alineada con el contexto organizacional estratgico de gestin del riesgo en el cual tendr lugar el establecimiento y mantenimiento del SGSI; 4) Establezca los criterios contra los cuales se evaluara el riesgo. (Vase el numeral 4.2.1, literal c) y; 5) Haya sido aprobada por la direccin. c) Definir el enfoque organizacional para la valoracin del riesgo. 1) Identificar una metodologa de valoracin del riesgo que sea adecuada al SGSI y a los requisitos reglamentarios, legales y de seguridad de la informacin del negocio, identificados. 2) Desarrollar criterios para la aceptacin de riesgos, e identificar los niveles de riesgo aceptables. (Vase el numeral 5.1, literal f) La metodologa seleccionada para la valoracin de riesgos debe asegurar que dichas valoraciones producen resultados comparables y reproducibles.

b)

NOTA

Existen diferentes metodologas para la valoracin de riesgos. En el documento ISO/EC TR 13335-3, information technology. Guidelines for the Management of IT Security-Techniques for the Management of IT Security se presentan algunos ejemplos.

d)

Identificar los riesgos 1) identificar los activos dentro del alcance de SGSI y los propietarios2 de estos activos. 2) Identificar las amenazas a estos activos. 3) Identificar las vulnerabilidades que podran ser aprovechadas por las amenazas. 4) Identificar los impactos que la prdida de confidencialidad, integridad y disponibilidad puede tener sobre estos activos.

e)

Analizar y evaluar los riesgos. 1) Valorar el impacto de negocios que podra causar una falla en la seguridad, sobre la organizacin, teniendo en cuenta las consecuencias de la perdida de confidencialidad, integridad o disponibilidad de los activos. 2) Valorar la posibilidad realista de que ocurra una falla en la seguridad, considerando las amenazas, las vulnerabilidades, los impactos asociados con estos activos, y los controles implementados actualmente. 3) Estimar los niveles de los riesgos. 4) Determinar la aceptacin del riesgo o la necesidad de su tratamiento a partir de los criterios establecidos en el numeral 4.2.1, literal c).

f)

Identificar y evaluar las opciones para el tratamiento de los riesgos. Las posibles acciones incluyen:

1) aplicar los controles apropiados.

2

El termino propietario identifica a un individuo o entidad que tiene la responsabilidad, designada por la gerencia, de controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El termino propietario no quiere decir que la persona realmente tenga algn derecho de propiedad sobre el activo.

2) aceptar los riesgos con conocimiento y objetividad, siempre y cuando satisfagan claramente la poltica y los criterios de la organizacin para la aceptacin de riesgos (Vase el numeral 4.2.1, literal c); 3) evitar riesgos, y 4) transferir a otras partes los riesgos asociados con el negocio, por ejemplo: aseguradoras, proveedores, etc. g) Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos. Los objetivos de control y los controles se deben seleccionar e implementar de manera que cumplan los requisitos identificados en el proceso de valoracin y tratamiento de los riesgos. Esta seleccin debe tener en cuenta los criterios para la aceptacin de riesgos (Vase el numeral 4.2.1. literal c), al igual que los requisitos legales, reglamentarios y contractuales. Los objetivos de control y los controles del Anexo A se deben seleccionar como parte de este proceso, en tanto sean adecuados para cubrir estos requisitos. Los objetivos de control y los controles presentados en el Anexo A no son exhaustivos, por lo que puede ser necesario seleccionar objetivos de control y controles adicionales. NOTA
El Anexo A contiene lista amplia de objetivos de control y controles que comnmente se han encontrado pertinentes en las organizaciones. Se sugiere a los usuarios de esta norma consultar el Anexo A como punto de partida para la seleccin de controles, con el fin de asegurarse de que no se pasan por alto opciones de control importantes.

h) i) j)

Obtener la aprobacin de la direccin sobre los riesgos residuales propuestos. Obtener autorizacin de la direccin para implementar y operar el SGSI. Elaborar una declaracin de aplicabilidad. Se debe elaborar una declaracin de aplicabilidad que incluya-. 1) Los objetivos de control y los controles seleccionados en el numeral 4.2.1, literal g) y las razones para su seleccin. 2) Los objetivos de control y los controles, seleccionados actualmente (Vase el numeral 4.2.1., literal e)2)), y 3)La exclusin de cualquier objetivo de control y controles enumerados en el anexo A y la justificacin para su exclusin.

NOTA La declaracin de aplicabilidad proporciona un resumen de las decisiones concernientes al tratamiento de los riesgos. La justificacin de las exclusiones permite validar que ningn control se omita voluntariamente. 4.2.2 Implementacin y operacin del SGSI

La organizacin debe: a) formular un plan para el tratamiento de riesgos que identifique la accin de gestin apropiada, los recursos, responsabilidades y prioridades para manejar los riesgos de seguridad de la informacin (Vase el numeral 5); b) implementar el plan de tratamiento de riesgos para lograr los objetivos de control identificados, que incluye considerar la financiacin y la asignacin de funciones y responsabilidades. c) Implementar los controles seleccionados en el numeral 4.2.1, literal g) para cumplir los objetivos de control; d) Definir como medir la eficacia de los controles o grupos de controles seleccionados, y especificar como se van a usar estas mediciones con el fin de valorar la eficacia de los controles para producir resultados comparables y reproducibles (Vase el numeral 4.2.3, literal c); NOTA La medicin de la eficacia de los controles permite a los gerentes y al personal determinar la medida en que se cumplen los objetivos de control planificados. e) implementar programas de formacin y de toma de conciencia, (Vase el numeral 5.2.2); f) gestionar la operacin del SGSI; g) gestionar los recursos del SGSI (Vase el numeral 5.2): h) implementar procedimientos y otros controles para detectar y dar respuesta oportuna a los incidentes de seguridad (Vase el numeral 4.2.3).

4.2.3

Seguimiento y revisin del SGSI

La organizacin debe: a) Ejecutar procedimientos de seguimiento y revisin y otros controles para:

1) 2) 3)

detectar rpidamente errores en los resultados del procesamiento; identificar con prontitud los incidentes e intentos de violacin a la seguridad, tanto los que tuvieron xito como los que fracasaron; posibilitar que la direccin determine si las actividades de seguridad delegadas a las personas o implementadas mediante tecnologa de la informacin se estn ejecutando en la forma esperada; ayudar a detectar eventos de seguridad, de esta manera impedir incidentes de seguridad mediante el uso de indicadores, y determinar si las acciones tomadas para solucionar un problema de violacin a la seguridad fueron eficaces. Emprender revisiones regulares de la eficacia del SGSI (que incluyen el cumplimiento de la poltica y objetivos del SGSI, y la revisin de los controles de seguridad) teniendo en cuenta los resultados de las auditorias de seguridad, incidentes, medicin de la eficacia sugerencias y retroalimentacin de todas las partes interesadas. Medir la eficacia de los controles para verificar que se han cumplido los requisitos de seguridad. Revisar las valoraciones de los riesgos a intervalos planificados, y revisar el nivel de riesgo residual y riesgo aceptable identificado, teniendo en cuenta los cambios en :

4)

5) b)

c) d)

1) 2) 3)

la organizacin, la tecnologa, los objetivos y procesos del negocio, 1) las amenazas identificadas, 2) la eficacia de los controles implementarlos, y 3) eventos externos, tales como cambio en el entorno legal o reglamentario, en las obligaciones contractuales, y en el clima social. Realizar auditorias internas del SGSI a intervalos planificados (Vase el numeral 6). NOTA Las auditorias internas, denominadas algunas veces auditorias de primera parte, las realiza la propia organizacin en su nombre, para propsitos internos.

e)

f)

emprender una revisin del SGSI, realizada por la direccin, en forma regular para asegurar que el alcance siga siendo suficiente y que se identifiquen mejoras al proceso de SGSI (Vase el numeral 7.1). Actualizar los planes de seguridad para tener en cuenta las conclusiones de las actividades de seguimiento y revisin. Registrar acciones y eventos que podran tener impacto en la eficacia o el desempeo del SGSI (Vase el numeral 4.33). Mantenimiento y mejora del SGSI

g) h) 4.2.4

La organizacin debe, regularmente: a) b) implementar las mejoras identificadas en el SGSI; Emprender las acciones correctivas y preventivas adecuadas de acuerdo con los numerales 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y las de la propia organizacin; Comunicar las acciones y mejoras a todas las partes interesadas, con nivel de detalle apropiado a las circunstancias, y en donde sea pertinente, llegar a acuerdos sobre como proceder; Asegurar que las mejoras logran los objetivos previstos.

c)

d) 4.3 4.3.1

REQUISITOS DE DOCUMENTACIN Generalidades

La documentacin del SGSI debe incluir registros de las decisiones de la direccin, asegurar que las acciones seas trazables a las decisiones y polticas de la gerencia, y que los resultados registrados sean reproducibles. Es importante estar en capacidad de demostrar la relacin entre los controles seleccionados y los resultados del proceso de valoracin y tratamiento de riesgos, y seguidamente, con la poltica y objetivos del SGSI. La documentacin del SGSI debe incluir: a) b) c) d) declaraciones documentadas de la poltica y objetivos del SGSI (Vase el numeral 4.2.1, literal b), el alcance del SGSI (Vase el numeral 4.2.1, literal a); Los procedimientos y controles que apoyan el SGSI; una descripcin de la metodologa de valoracin de riesgos (Vase el numeral 4.2.1, literal c);

e) f) g)

el informe de valoracin de riesgos (Vase el numeral 4.2.1, literales c)a g )); el plan de tratamiento de riesgos (Vase el numeral 4.2.2, literal b)); los procedimientos documentados que necesita la organizacin para asegurar la eficacia de la planificacin, operacin y control de sus procesos de seguridad de la informacin, y para describir como medir la eficacia de los controles (Vase el numeral 4.2.3, literal c)); Los registros exigidos por esta norma (Vase el numeral 4.3.3), y La declaracin de aplicabilidad. En esta norma el termino procedimiento documentado significa que el procedimiento esta establecido, documentado, implementado y mantenido. El alcance de la documentacin del SGSI puede ser diferente de una organizacin a otra debido a: -El tamao de la organizacin y el tipo de sus actividades, y -El alcance y complejidad de los requisitos de seguridad y del sistema que se esta gestionando. Los documentos y registros pueden tener cualquier forma o estar en cualquier tipo de medio.

h) i) NOTA1

NOTA 2

NOTA 3 4.3.2

Control de documentos

Los documentos exigidos por el SGSI se deben proteger y controlar. Se debe establecer un procedimiento documentado para definir las acciones de gestin necesarias para: a) b) c) d) e) aprobar los documentos en cuanto a su suficiencia antes de su publicacin; revisar y actualizar los documentos segn sea necesario y reaprobarlos; asegurar que los cambios y el estado de actualizacin de los documentos estn identificados; asegurar que las versiones mas recientes de los documentos pertinentes estn disponibles en los puntos de uso; asegurar que los documentos permanezcan legibles y fcilmente identificables;

f)

asegurar que los documentos estn disponibles para quienes los necesiten, y que se apliquen los procedimientos pertinentes, de acuerdo con su clasificacin, para su transferencia , almacenamiento y disposicin final. Asegurar que los documentos de origen externo estn identificados; Asegurar que la distribucin de documentos este controlada; Impedir el uso no previsto de los documentos obsoletos, y Aplicar la identificacin adecuada a los documentos obsoletos, si se retienen para cualquier propsito.

g) h) i) j)

4.3.3

control de registros

Se deben establecer y mantener registros para brindar evidencia de la conformidad con los requisitos y la operacin eficaz del SGSI. Los registros deben estar protegidos y controlados. El SGSI debe tener en cuenta cualquier requisito legal o reglamentario y las obligaciones contractuales pertinentes. Los registros deben permanecer legibles, fcilmente identificables y recuperables. Los controles necesarios para la identificacin, almacenamiento, proteccin, recuperacin, tiempo de retencin y disposicin de registros se deben documentar e implementar. Se deben llevar registros del desempeo del proceso como se esboza en el numeral 4.2, y de todos los casos de incidentes de seguridad significativos relacionados con el SGSI EJEMPLO Algunos ejemplos de registros son: un libro de visitantes, informes de auditorias y formatos de autorizacin de acceso diligenciados. 5. 5.1 RESPONSABILIDAD DE LA DIRECCIN COMPROMISO DE LA DIRECCIN

La direccin debe brindar evidencia de sus compromiso con el establecimiento, implementacin, operacin, seguimiento, revisin, mantenimiento y mejora del SGSI: a) b) c) d) mediante el establecimiento de una poltica del SGSI; asegurando que se establezcan los objetivos y planes del SGSI; estableciendo funciones y responsabilidades de seguridad de la informacin; comunicando a la organizacin la importancia de cumplir los objetivos de seguridad de la informacin y de la conformidad con la poltica de seguridad de la informacin, sus responsabilidades bajo la ley, y la necesidad de la mejora continua; brindando los recursos suficientes para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI (Vase el numeral 5.2.1);

e)

f) g) h) 5.2 5.2.1

decidiendo los criterios para aceptacin de riesgos, y los niveles de riesgo aceptables; asegurando que se realizan auditorias internas del SGSI (Vase el numeral 6), y efectuando las revisiones por la direccin, del SGSI (Vase el numeral 7)

GESTION DE RECURSOS Provisin de recursos

La organizacin debe determinar y suministrar los recursos necesarios para: a) b) c) d) e) f) 5.2.2 establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI; asegurar que los procedimientos de seguridad de la informacin brindan apoyo a los requisitos del negocio; identificar y atender los requisitos legales y reglamentarios, as como las obligaciones de seguridad contractuales; mantener la seguridad suficiente mediante la aplicacin correcta de todos los controles implementados; llevar a cabo revisiones cuando sea necesario y reaccionar apropiadamente a los resultados de estas revisiones; y en donde se requiera, mejorar la eficacia del SGSI.

Formacin, toma de conciencia y competencia

La organizacin debe asegurar que todo el personal al que se asigne responsabilidades definidas en el SGSI sea competente para realizar las tareas exigidas, mediante: a) b) c) d) la determinacin de las competencias necesarias para el personal que ejecute el trabajo que afecta el SGSI, el suministro de formacin o realizacin de otras acciones (por ejemplo, la contratacin de personal competente) para satisfacer estas necesidades; la evaluacin de la eficacia de las acciones emprendidas, y el mantenimiento de registros de la educacin, formacin, habilidades, experiencia y calificaciones (Vase el numeral 4.3.3).

La organizacin tambin debe asegurar que todo el personal apropiado tiene conciencia de la pertinencia e importancia de sus actividades de seguridad de la informacin y como ellas contribuyen al logro de los objetivos del SGSI. 6. AUDITORIAS INTERNAS DEL SGSI

La organizacin debe llevar a cabo auditorias internas del SGSI a intervalos planificados, para determinar si los objetivos de control, controles, procesos y procedimientos de su SGSI:

a) b) c) d)

cumplen los requisitos de la presente norma y de la legislacin o reglamentaciones pertinentes; cumplen los requisitos identificados de seguridad de la informacin; estn implementados y se mantienen eficazmente, y tienen un desempeo acorde con lo esperado.

Se debe planificar un programa de auditorias tomando en cuenta el estado e importancia de los procesos y las reas que se van a auditar, as como los resultados de las auditorias previas. Se deben definir los criterios, el alcance, la frecuencia y los mtodos de la auditoria. La seleccin de los auditores y la realizacin de las auditorias deben asegurar la objetividad e imparcialidad del proceso de auditoria. Los auditores no deben auditar su propio trabajo. Se deben definir en un procedimiento documentado las responsabilidades y requisitos para la planificacin y realizacin de las auditorias, para informar los resultados, y para mantener los registros (Vase el numeral 4.3.3). La direccin responsable del rea auditada debe asegurarse de que las acciones para eliminar las no conformidades detectadas y sus causas, se emprendan sin demora injustificada. Las actividades de seguimiento deben incluir la verificacin de las acciones tomadas y el reporte de los resultados de la verificacin. NOTA La norma NTC-ISO 19011:2002, Directrices para la auditoria de los sistemas de gestin de la calidad y/o ambiente puede brindar orientacin til para la realizacin de auditorias internas del SGSI. 7. REVISIN DEL SGSI POR LA DIRECCIN

7.1 GENERALIDADES La direccin debe revisar el SGSI de la organizacin a intervalos planificados (por los menos una vez al ao), para asegurar su conveniencia, suficiencia y eficacia continuas. Esta revisin debe incluir la evaluacin de las oportunidades de mejora y la necesidad de cambios del SGSI, incluidos la poltica de seguridad y los objetivos de seguridad. Los resultados de las revisiones se deben documentar claramente y se deben llevar registros (Vase el numeral 4.3.3). 7.2 INFORMACION PARA LA REVISIN Las entradas para la revisin por la direccin deben incluir: a) b) c) d) e) f) resultados de las auditorias y revisiones del SGSI; retroalimentacin de las partes interesadas; tcnicas, productos o procedimientos que se pueden usar en la organizacin para mejorar el desempleo y eficacia del SGSI; estado de las acciones correctivas y preventivas; vulnerabilidades o amenazas no tratadas adecuadamente en la valoracin previa de los riesgos; resultados de las mediciones de eficacia;

g) h) i)

acciones de seguimiento resultantes de revisiones anteriores por la direccin; cualquier cambio que pueda afectar el SGSI; y recomendaciones para mejoras.

7.3 RESULTADOS DE LA REVISIN Los resultados de la revisin por la direccin deben incluir cualquier decisin y accin relacionada con: a) b) c) la mejora de la eficacia del SGSI; la actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos. La modificacin de los procedimientos y controles que afectan la seguridad de la informacin, segn sea necesario, para responder a eventos internos o externos que pueden tener impacto en el SGSI, incluidos cambios a: los requisitos del negocio, los requisitos de seguridad, los procesos del negocio que afectan los requisitos del negocio existentes, los requisitos reglamentarios o legales, las obligaciones contractuales, y los niveles de riesgo y/o niveles de aceptacin de riesgos. los recursos necesarios. La mejora a la manera en que se mide la eficacia de los controles.

1) 2) 3) 4) 5) 6) d) e) 8. 8.1

MEJORA DEL SGSI MEJORA CONTINUA

La organizacin debe mejorar continuamente la eficacia del SGSI mediante el uso de la poltica de seguridad de la informacin, los objetivos de seguridad de la informacin, los resultados de la auditoria, el anlisis de los eventos a los que se les ha hecho seguimiento, las acciones correctivas y preventivas y la revisin por la direccin. 8.2 ACCION CORRECTIVA

La organizacin debe emprender acciones para eliminar la causa de no conformidades asociadas con los requisitos del SGSI, con el fin de prevenir que ocurran nuevamente. El procedimiento documentado para la accin correctiva debe definir requisitos para: a) b) c) d) e) f) identificar las no conformidades; determinar las causas de las no conformidades; evaluar la necesidad de acciones que aseguren que las no conformidades no vuelven a ocurrir; determinar e implementar la accin correctiva necesaria; registrar los resultados de la accin tomada (Vase el numeral 4.3.3); y revisar la accin correctiva tomada.

8.3

ACCION PREVENTIVA

La organizacin debe determinar acciones para eliminar la causa de no conformidades potenciales con los requisitos del SGSI y evitar que ocurran. Las acciones preventivas tomadas deben ser apropiadas al impacto de los problemas potenciales. El procedimiento documentado para la accin preventiva debe definir requisitos para: a) b) c) d) e) identificar no conformidades potenciales y sus causas; evaluar la necesidad de acciones para impedir que las no conformidades ocurran; determinar e implementar la accin preventiva necesaria; registrar los resultados de la accin tomada (Vase el numeral 4.3.3), y revisar la accin preventiva tomada.

La organizacin debe identificar los cambios en los riesgos e identificar los requisitos en cuanto acciones preventivas, concentrando la atencin en los riesgos que han cambiado significativamente. La prioridad de las acciones preventivas se debe determinar con base en los resultados de la valoracin de los riesgos. NOTA Las acciones para prevenir no conformidades con frecuencia son mas rentables que la accin correctiva.