ISO 27000 - 27001
• ISO 27000: En fase de desarrollo; su fecha prevista de
publicación es Noviembre de 2008. Contendrá términos y definiciones que se
emplean en toda la serie 27000. La aplicación de cualquier estándar
necesita de un vocabulario claramente definido, que evite distintas
interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto
que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste.
• ISO 27001: Publicada el 15
de Octubre de 2005. Es la norma principal de la serie y contiene los
requisitos del sistema de gestión de seguridad de la información. Tiene su
origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican
por auditores externos los SGSI de las organizaciones. Sustituye a la BS
7799-2, habiéndose establecido unas condiciones de transición para
aquellas empresas certificadas en esta última. En su Anexo A, enumera en
forma de resumen los objetivos de control y controles que desarrolla la
ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de
2007), para que sean seleccionados por las organizaciones en el desarrollo
de sus SGSI; a pesar de no ser obligatoria la implementación de todos los
controles enumerados en dicho anexo, la organización deberá argumentar
sólidamente la no aplicabilidad de los controles no implementados. Desde
el 28 de Noviembre de 2007, esta norma está publicada en España como
UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR.
•
ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre
de 2008. Contendrá términos y definiciones que se emplean en toda la serie
27000. La aplicación de cualquier estándar necesita de un vocabulario
claramente definido, que evite distintas interpretaciones de conceptos
técnicos y de gestión. Esta norma está previsto que sea gratuita, a
diferencia de las demás de la serie, que tendrán un coste.
• ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma
principal de la serie y contiene los requisitos del sistema de gestión de
seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la
norma con arreglo a la cual se certifican por auditores externos los SGSI
de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido
unas condiciones de transición para aquellas empresas certificadas en esta
última. En su Anexo A, enumera en forma de resumen los objetivos de control
y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO
17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por
las organizaciones en el desarrollo de sus SGSI; a pesar de no ser
obligatoria la implementación de todos los controles enumerados en dicho
anexo, la organización deberá argumentar sólidamente la no aplicabilidad
de los controles no implementados. Desde el 28 de Noviembre de 2007, esta
norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse
online en AENOR.
Gestión de la seguridad de la información
La norma ISO 27001 define cómo organizar la
seguridad de la información en cualquier tipo de organización, con o sin fines
de lucro, privada o pública, pequeña o grande. Es posible afirmar que esta
norma constituye la base para la gestión de la seguridad de la información.
La ISO 27001 es para la seguridad de la
información lo mismo que la ISO 9001 es para la calidad: es una norma
redactada por los mejores especialistas del mundo en el campo de seguridad de
la información y su objetivo es proporcionar una metodología para la
implementación de la seguridad de la información en una organización. También
permite que una organización sea certificada, lo cual significa que una entidad
de certificación independiente ha confirmado que la seguridad de la información
se ha implementado en esa organización de la mejor forma posible.
A raíz de la importancia de la
norma ISO 27001, muchas legislaturas han tomado esta norma como base
para confeccionar las diferentes normativas en el campo de la protección de
datos personales, protección de información confidencial, protección de
sistemas de información, gestión de riesgos operativos en instituciones
financieras, etc.
La norma ISO 27001 determina cómo
gestionar la seguridad de la información a través de un sistema de gestión de
seguridad de la información. Un sistema de gestión de este tipo, igual que las
normas ISO 9001 o ISO 14001, está formado por cuatro fases que
se deben implementar en forma constante para reducir al mínimo los riesgos
sobre confidencialidad, integridad y disponibilidad de la información.
Las fases son las siguientes:
La Fase de planificación: esta fase sirve para planificar
la organización básica y establecer los objetivos de la seguridad de la
información y para escoger los controles adecuados de seguridad (la norma
contiene un catálogo de 133 posibles controles).
La Fase de implementación: esta fase implica la realización
de todo lo planificado en la fase anterior.
La Fase de revisión: el objetivo de esta fase es
monitorear el funcionamiento del SGSI mediante diversos “canales” y
verificar si los resultados cumplen los objetivos establecidos.
La Fase de mantenimiento y mejora: el objetivo de
esta fase es mejorar todos los incumplimientos detectados en la fase anterior.
El ciclo de estas cuatro fases nunca termina, todas
las actividades deben ser implementadas cíclicamente para mantener la eficacia
del SGSI.
Documentos
de ISO 27001
La
norma ISO 27001 requiere los siguientes documentos:
·
El
alcance del SGSI;
·
La
política del SGSI;
·
Procedimientos
para control de documentación, auditorías internas y procedimientos para
medidas correctivas y preventivas;
·
Todos
los demás documentos, según los controles aplicables;
·
Metodología
de evaluación de riesgos;
·
Informe
de evaluación de riesgos;
·
Declaración
de aplicabilidad;
·
Plan de
tratamiento del riesgo;
·
Registros.
La
cantidad y exactitud de la documentación depende del tamaño y de las exigencias
de seguridad de la organización; esto significa que una docena de documentos
serán suficientes para una pequeña organización, mientras que las
organizaciones grandes y complejas tendrán varios cientos de documentos en su
SGSI.
La Fase de planificación
Esta
fase está formada por los siguientes pasos:
·
Determinación
del alcance del SGSI;
·
Redacción
de una Política de SGSI;
·
Identificación
de la metodología para evaluar los riesgos y determinar los criterios para la
aceptabilidad de riesgos;
·
Identificación
de activos, vulnerabilidades y amenazas;
·
Evaluación
de la magnitud de los riesgos;
·
Identificación
y evaluación de opciones para el tratamiento de riesgos;
·
Selección
de controles para el tratamiento de riesgos;
·
Obtención
de la aprobación de la gerencia para los riesgos residuales;
·
Obtención
de la aprobación de la gerencia para la implementación del SGSI;
·
Redacción
de una declaración de aplicabilidad que detalle todos los controles aplicables,
determine cuáles ya han sido implementados y cuáles no son aplicables.
La Fase de implementación
Esta
fase incluye las siguientes actividades:
·
Redacción
de un plan de tratamiento del riesgo que describe quién, cómo, cuándo y con qué
presupuesto se deberían implementar los controles correspondientes;
·
Implementación
de un plan de tratamiento del riesgo;
·
Implementación
de los controles de seguridad correspondientes;
·
Determinación
de cómo medir la eficacia de los controles;
·
Realización
de programas de concienciación y capacitación de empleados;
·
Gestión
del funcionamiento normal del SGSI;
·
Gestión
de los recursos del SGSI;
·
Implementación
de procedimientos para detectar y gestionar incidentes de seguridad.
La Fase de verificación
Esta
fase incluye lo siguiente:
·
Implementación
de procedimientos y demás controles de supervisión y control para determinar
cualquier violación, procesamiento incorrecto de datos, si las actividades de
seguridad se desarrollan de acuerdo a lo previsto, etc.;
·
Revisiones
periódicas de la eficacia del SGSI;
·
Medición
la eficacia de los controles;
·
Revisión
periódica de la evaluación de riesgos;
·
Auditorías
internas planificadas;
·
Revisiones
por parte de la dirección para asegurar el funcionamiento del SGSI y
para identificar oportunidades de mejoras;
·
Actualización
de los planes de seguridad para tener en cuenta otras actividades de
supervisión y revisión;
·
Mantenimiento
de registros de actividades e incidentes que puedan afectar la eficacia
del SGSI.
La
fase de mantenimiento y mejora
Esta
fase incluye lo siguiente:
·
Implementación
en el SGSI de las mejoras identificadas;
·
Toma de
medidas correctivas y preventivas y aplicación de experiencias de seguridad
propias y de terceros;
·
Comunicación
de actividades y mejoras a todos los grupos de interés;
·
Asegurar
que las mejoras cumplan los objetivos previstos.
No hay comentarios:
Publicar un comentario