• Author / Uploaded
• racsoener

Citation preview

Tema: Norma ISO 27001/27002 Autor: OSCAR RENÉ GONZÁLEZ GUATIBONZA, ING. INFORMÁTICA, [email protected] Palabras clave: Auditoría, Norma, ISO, 27001, 27002, Seguridad, Información, SGSI, riesgos, requisitos, controles. Introducción: Los estándares ISO 27001 y 27002 son sistemas de gestión de la seguridad de la información, como complemento a la rama de la seguridad informática, que aunque ofrece un concepto similar se diferencia en su aplicación la primera gestiona y minimiza los posibles riesgos que 1 atenten contra la seguridad de la información , esta; como uno de los activos más importantes de la empresa. y la segunda, tiene que ver con la gestión y minimización de riesgo de fallos en la infraestructura de tecnologías y de comunicación que soportan las empresas actuales. 1

. (SGSI, Conceptos Básicos sobre la Seguridad de la Información, INTECO)

Lineamientos Básicos de la Normas ISO 27001/27002 Los orígenes de las normas ISO 27001/27002 se remonta a 1995 con la aparición de la norma BSI-BS7799 (BSI, Institución de estándares británicos), como un documento que contiene un conjunto de buenas prácticas para la gestión de la seguridad de la información y no requería necesariamente una certificación. Posteriormente la segunda parte de la norma (BS 7799-2), adapto requisitos de un sistema de gestión para la seguridad de la información (SGSI) La cual fue certificable por una entidad de manera independiente. En el año 2002 esta norma se revisó y se adaptó a estándares ISO de sistemas de gestión 2 donde para el año de 2005 ya contaba con 1700 empresas certificadas en BS 7799-2 , y fue publicada como ISO 27001:2005. En este mismo año fue renombrada la norma ISO 17799 ahora llamada ISO 27002:2005 y publicada formalmente en Julio del año de 2007. 2.

ISO 27000, http://www.iso27000.es/iso27000.html#section3a

La norma ISO 27001 es la norma principal de la serie 27000 y contiene los requisitos del sistema de gestión y es certificable, por el contrario la norma ISO 27002 no es certificable pero contiene un manual de buenas prácticas y controles necesarios para complementar y ayudar al cumplimiento de los requisitos de la norma ISO 27001. El sistema de gestión de seguridad de la información, está orientada a procesos. y cumple el ciclo de control PDCA en inglés o PHVA en español que significa(planear, hacer, verificar y actuar). Lo anterior significa que es compatible con otros sistemas de gestión como ISO 9001 o 14001 entre otros, lo cual pueden integrarse de una manera eficiente.

El modelo orientado a procesos para un SGSI, puede describirse de la siguiente Manera: Planificar: Establecer el Sistema de Gestión. Hacer: Implementar y operar el Sistema de Gestión. Verificar: Hacer seguimiento y revisar el Sistema de Gestión Actuar: Mantener y mejorar el Sistema de Gestión. A continuación se muestra de manera general los componentes más importantes de la norma ISO 27001/27002: ISO 27001 Esta norma comprende generalmente por 5 elementos que son; El sistema de Gestión (SGSI), Requisitos de Documentación, Responsabilidades de la Dirección, las Auditorías Internas del SGSI, y la Revisión del SGSI por parte de la Dirección y las Mejoras de Sistema. El sistema de Gestión (SGSI): Esta primera parte comprende los requisitos generales de la norma donde se muestra el modelo PHVA de forma clara, teniendo en cuenta que el sistema ya está limitado y dividido en procesos. En el establecimiento del SGSI, la organización debe definir alcance y límites del sistema de gestión, definir una política del SGSI, que sirva para la fijación de objetivos, y tener en cuenta los requisitos del negocio y los criterios para evaluar el riesgo. Además de la política el SGSI, define el enfoque de la organización para valora el riesgo, con una metodología clara y apropiada. Posteriormente el SGSI, analiza y evalúa el Riesgo, sus impactos posibilidades de fallos, niveles del mismo y todas las posibles acciones que se pueden tomar para minimizar, controlar (Objetivos de control y controles) o evitar riesgos. En cuanto a la implementación y funcionamiento del SGSI, la organización debe formular e implementar planes para tratamiento de riesgos, definir como se mide la eficacia de controles (P). Se debe proporcionar formación de sensibilización y concientización del recurso humano, gestionar la correcta operación del SGSI, Gestionar los recursos para el funcionamiento del SGSI, e implementar y ejecutar procedimientos y otros controles para contrarrestar incidentes de seguridad (H). Se debe realizar seguimiento y revisión del sistema SGSI, haciendo seguimiento y revisión de procedimientos y controles, ayudar a detectar eventos de seguridad, determinando si las acciones tomadas solucionan el problema o incidentes de seguridad como también que se está cumpliendo con la política, los objetivos y la eficacia general del sistema, lo anterior por medio de auditorías internas (V). Las organización con respecto al SGSI, debe implementar las mejoras en procesos que fueron detectadas anteriormente, y se emprenden acciones preventivas y correctivas necesarias y adecuadas al SGSI, y comunicar las acciones de mejora a quien requiera esta información y por ultimo asegurar que el mejoramiento cumpla con los objetivos propuestos y previstos anteriormente planificados (A). El SGSI, debe tener documentados las políticas, los objetivos del SGSI, sus alcances, procedimientos, controles, metodologías de valoración de riesgos, informes y plan de tratamiento de los mismos, entre otros procedimientos y registros necesarios para medir la eficacia del SGSI. Todos los documentos y registros del SGSI se deben proteger y controlar y se deben generar

procedimientos para tomar las acciones necesarias para; Aprobar, revisar y actualizar documentos cuando sea necesario. Como también el aseguramiento de cambios, versiones de los documentos, legibilidad, identificación y disponibilidad de los mismos, y que permita una clasificación y almacenamiento adecuados. Responsabilidad de la Dirección: la dirección debe evidenciar su compromiso con el SGSI, en cada ciclo PHVA, donde también se encuentran; establecer las políticas, los objetivos, funciones y responsabilidades en el SG, brindar los recursos necesarios para su funcionamiento, asegurar que se realicen las auditorías y efectuar las revisiones por la dirección. Una función importante de la dirección es ser responsable de la capacitación, sensibilización, delegar y asignar responsabilidades correspondientes. Auditorías internas del SGSI: La organización debe realizar las auditorías internas previamente planificadas en sus intervalos de tiempo, y determinan si la política, los objetivos, los controles, procesos y procedimientos cumplen con los requisitos de la norma, legislación y otras reglamentaciones internas o externas que influencie el SGSI, como también vela porque se implementen y se mantengan eficazmente dando los resultados esperados. Revisión del SGSI por la dirección: la planificación de estas revisiones del SGSI debe realizare, al menos una vez al año, normalmente las entradas para la revisión contienen los resultados de las auditorias, evidencias de desempeño y eficacia del SGSI, estado de las acciones preventivas y correctivas, cambios que se puedan realizar a l sistema, como también recomendaciones para la mejora continua. La revisión de la dirección genera unos resultados que contienen las decisiones y acciones a realizar. Lo anterior debe quedar evidenciado. Mejora continua del SGSI: La mejora continua es lograda solo después solo de dar cumplimiento a los requisitos de la norma, cumplir con los objetivos planteados y después de tomar acciones preventivas y correctivas según resultados de las auditorías internas. Las acciones correctivas y preventivas son basadas básicamente por las no conformidades donde posteriormente se analizar para hallar sus causas y acciones a tomar. ISO 27002 Esta norma, aplica en segundo tiempo el enfoque del SGSI según los requisitos del sistema SGSI de la ISO 27001. Esta norma está compuesta por 39 objetivos de control y 133 controles agrupados dominios que dividen en; las política de seguridad, aspectos organizativos de la seguridad, clasificar y controlar activos de la organización con respecto al SGSI, seguridad relacionada al recurso humano, la seguridad física y del entorno, gestión de las comunicaciones y operacional, control de accesos, desarrollo y soporte de sistemas, gestión de incidentes de seguridad de la información , continuidad y gestión del negocio, y conformidad del SGSI. Metodología, estándar Auditoría de sistemas. Las metodologías pueden variar de acuerdo a objetivo de la auditoría y criterios establecidos por la norma, por auditorías anteriores y/o por la mejora continua, su importancia depende del estado general del SGSI actual de la organización, como por ejemplo el desarrollo de una primera auditoría interna posterior a la implementación del SGSI, puede inicialmente tener un numero aceptable de inconformidades de las cuales fueron corregidas posteriormente y antes de la siguiente auditoría. Como estándar se analizan 4 fases básicas 3 para un sistema de gestión de seguridad de la información que son, primero, realizando un estudio preliminar, segundo; analizando, revisando los controles de Seguridad, tercero; examinar eventos y demás características de áreas críticas

en la organización y por ultimo comunicar efectivamente los resultados a todos los interesados o que hagan parte del SGSI A nivel general un SGSI como otros sistemas de gestión utiliza el ciclo PHVA, como metodología aplicada a los procesos. Este permite el aseguramiento del SGSI de manera periódica bajo los criterios establecidos por la norma. 3

. http://www.itchetumal.edu.mx/paginasvar/Maestros/mduran/Programa%20auditoria.htm

Bibliografía: ISO 27001-27002, Proyecto Norma Técnica Colombiana, 204/5. Ebrary IT Governance: A Manager's Guide to Data Security and ISO 27001/ISO 27002 (4th Edition), Calder, Alan. EBSCO-Business Source Complete

Rosso, Anne,” ISO 27001 Primer”, Aug2011, Vol. 77 Issue 1, p31-35, 4p, ISO 27000, http://www.iso27000.es/iso27000.html#section3a SGSI, Conceptos Básicos sobre la Seguridad de la Información, INTECO. (www.inteco.es)

BSI Management Systems (http://www.bsiamerica.com) http://www.itchetumal.edu.mx/paginasvar/Maestros/mduran Conclusiones: Las normas ISO 270011/s pretenden asegurar la información como un activo muy importante para las organizaciones. La norma ISO 27001 que es la principal de la seria 27000 y es la que cumple los criterios de certificación de una entidad independiente. La norma ISO 27002, contiene las herramientas necesarias para dar cumplimiento de la norma 27001, describiendo detalladamente las formas de control para un SGSI. Las normas ISO 27001/2 son compatibles con otros sistemas de gestión y pueden aplicarse de manera integrada. Las normas ISO 27001/2 al igual que otros sistemas de Gestión enfocado a procesos utilizan la metodología del ciclo PHVA. Las normas ISO 27001/2, pueden aplicarse a cualquier tipo de organización y tienen como misión principal evitar, contrarrestar y controlar los riesgos relacionados con la seguridad de la información.