150
Normas y Estándares
ISO 27001: introducción del negocio (actividad) para estable-
ISO 27001 ES UN ESTÁNDAR INTERNACIONAL (WWW.ISO.CH) (WWW.ISO .CH) PUBLICADO EN OCTUBRE DE 2005 DEDICADO A LA ORGANIZACIÓN DE LA SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN
cer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información. Un sistema de gestión incluye:
Estructura organizativa.
Políticas.
Planificación.
Responsabilidades.
Prácticas.
Procedimientos.
a una organización del cumplimiento
Procesos.
de otras leyes leyes.. Por ejemplo:
Recursos.
La certificación ISO 27001 no exime
Alfonso Calvo Orra CISM, SISA AUDITOR AUDIT OR JEFE SGSI
la actualidad están desarrollándose en
Personales.
Debido a la juventud de la norma, en
Ley Orgánica de Protección de Datos Reglamento de Medidas de Seguri-
el mundo las primeras certificaciones respecto a ISO 27001. El autor de este
dad.
artículo participa en una de estas iniciativas en una corporación española.
La creación de un SGSI es una decisión estratégica en una organización y como tal, debe ser apoyada y supervisada por la dirección
A
l igual que la norma ISO 9001 certifica la calidad de las empresas, ISO 27001 lo
hace con la seguridad de la información. Por tanto, podría considerarse que ISO 27001 representa la «calidad ». de la seguridad ». El objetivo de la seguridad de la información es preservar su:
Confidencialidad: evitar que la
información sea utilizada por individuos o procesos no autorizados.
Hacia una cultura de la seguridad La Organización para la Cooperación y el Desarrollo Económico (www.oedc.org) es una organismo internacional formado por cuarenta países (España incluida) que ha elaborado el documento discrecional «OECD Guidelines for the Security of Information Systems and Networks» (2002) en el que se especifican directi-
Integridad: proteger la precisión y
vas para la seguridad de las Tecnolo-
completitud de cualquier cosa que
Ley de Firma Electrónica.
gías de la Información y las Comunica-
posee valor para una organización.
Ley de Servicios de la Sociedad de
ciones (TIC (TIC). ).
Disponibilidad: información accesi-
El cambio continuo de la sociedad
la Información y Comercio Electrónico.
ble y utilizable bajo petición de las
entidades autorizadas.
en lo relativo a protección de la infor-
requiere un mayor énfasis en su segu-
mación.
ridad por parte de los participantes
ISO 27001 establece los requisitos
Códigos de comercio, civil y penal
que debe cumplir un SGSI (Sistema
para la Gestión de la Seguridad de la
la actividad de la empresa.
Información) para su certificación en
Legislación sectorial aplicable según Un SGSI es una parte del sistema
de gestión de una organización, basa-
nivel empresarial.
do en una aproximación de los riesgos
alfonso calvo-.p65
en la mismas: estados, empresas privadas y usuarios que desarrollan, po-
términos de procesos de seguridad a
Nº 2
está soportado por las TIC, lo cual
seen, proporcionan o gestionan dichas tecnologías.
Marzo / Abril 2006
150
14/03/2006, 22:35
La creciente interconectividad de
152
Normas y Estándares las TIC que soportan infraestructuras críticas (energía, finanzas, gobierno, telecomunicaciones) aumenta las amenazas y vulnerabilidades de estos sistemas. Todos los participantes en la sociedad de la información necesitan unos principios para aumentar el conocimiento y la comprensión de la seguridad de las TIC y desarrollar una «cultura de la seguridad». La promoción de una cultura de la
La certificación ISO 27001 no exime a una organización del cumplimiento de otras leyes seguridad requerirá una gran cooperación entre los participantes, que debería traducirse en una planificación y
gestión concertada de la seguridad. Los principios para desarrollar la cultura de la seguridad son:
Conocimiento. Los participantes
deberían ser conscientes de la necesidad de la seguridad de las TIC y como podrían mejorarla.
Responsabilidad. Todos los particiDemocracia. La seguridad de las
pantes son responsables de la seguri-
dad de las TIC.
TIC debería ser compatible con los
aproximación global para la gestión de
Respuesta. Los participantes debe-
ticipantes deberían adoptar una
valores esenciales de una sociedad
la seguridad.
rían actuar de una manera oportuna y
democrática.
cooperativa para prevenir, detectar y
deberían revisar y reevaluar la seguri-
ridad. Un incidente de seguridad es
Evaluación de riesgos. Los participantes deberían realizar evaluaciones de riesgos, que son procesos
una serie de eventos inesperados que
globales de análisis y evaluación para
prácticas, mediciones y procedimientos
poseen una probabilidad significativa
determinar su trascendencia en la
de seguridad.
de comprometer el funcionamiento del
organización.
negocio y amenaza la seguridad de la
responder ante los incidentes de segu-
información.
Ética. Los participantes deberían
Diseño e implementación de la seguridad. Los participantes deberían incorporar la seguridad como un ele-
respetar los legítimos intereses de los
mento esencial de las TIC.
otros.
Gestión de la seguridad. Los par-
dad de las TIC, realizando las modificaciones apropiadas en las políticas,
PDCA La creación de un SGSI es una decisión estratégica en una organización y como tal, debe ser apoyada y
Nº 2 Marzo / Abril 2006
alfonso calvo-.p65
152
Re-evaluación. Los participantes
14/03/2006, 22:38
153
Normas y Estándares
Estructura de la norma ISO 27001 Introducción. Alcance. Referencias. Definiciones. Requisitos para el ciclo de vida del SGSI
a. Generales. b. Establecimiento y gestión. c. Documentación.
Responsabilidad de la Dirección.
Auditorías internas. Revisión del SGSI por parte de la Dirección.
Mejora del SGSI. ANEXO A. Objetivos de control.
ANEXO B. Principios de seguridad de la OCDE.
ANEXO C. Correspondencia
mar sus entradas en salidas. La identi-
relevantes para la gestión de los ries-
ficación, uso, interacción y gestión de
gos y mejorar la seguridad de la infor-
un conjunto de procesos en una orga-
mación para entregar resultados satis-
nización se denomina «aproximación
factorios con respecto a los objetivos
por procesos».
de la organización.
ISO 27001 aplica una aproxima-
ción por procesos para la gestión de enfatizando la importancia de los siguientes aspectos:
Comprensión de los requisitos de
con las normas 9001 (cali-
seguridad de la organización. Necesi-
dad) y 14001
dad de establecer una política y unos
(medioambiente).
objetivos .
BIBLIOGRAFÍA. Este artículo cubre hasta el apartado 3 (inclusive). En posteriores trabajos se abordarán otras partes del estándar y
La creciente interconectividad de las TIC que soportan infraestructuras críticas aumenta las amenazas y vulnerabilidades de estos sistemas
la seguridad de la información,
Implementar controles para gestio-
nar los riesgos en el contexto del negocio.
Monitorizar el rendimiento del
su aplicación para alcanzar la
SGSI.
certificación.
Mejora continua basada en la medi-
ción de los objetivos. ISO 27001 adopta el modelo PDCA
Hacer: implementar y operar los
supervisada por la dirección. Su
(«Plan-Do-Check-Act », Planificar-
elementos del SGSI (política, contro-
implementación depende de: los obje-
Hacer-Comprobar-Actuar) que se apli-
les, procesos y procedimientos).
tivos establecidos, los requisitos de
ca para estructurar todos los procesos
seguridad, los procesos involucrados y
del SGSI y también está subyacente
de los procesos contra los objetivos del
la estructura de la organización.
en los principios de la OCDE.
SGSI, notificando los resultados a la
Cualquier organización necesita
Las actividades principales asocia-
Comprobar: medir el rendimiento
dirección para su revisión.
definir y gestionar muchas actividades
das al modelo PDCA aplicadas al SGSI
para funcionar eficientemente. Un
son:
nes, realizar acciones preventivas y
proceso es una actividad que utiliza
recursos y los gestiona para transfor-
Planificar: establecer políticas, ob-
jetivos, procesos y procedimientos
Actuar: basándose en las revisio-
correctivas para alcanzar la mejora continua del SGSI.
Nº 2 Marzo / Abril 2006
alfonso calvo-.p65
153
14/03/2006, 22:38