• Author / Uploaded
• MARIA ANALY BARTUREN REQUEJO

Citation preview

INTRODUCCIÓN 1.- ¿Qué es seguridad de la información? Se entiende por seguridad de la información a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistema tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la autenticidad y Integridad de la misma. El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas. Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo. El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Esta ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, Planificación de la continuidad del negocio, Ciencia Forense Digital y Administración de Sistemas de Gestión de Seguridad por nombrar algunos. La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de una organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus activos de información. ISO 27001 2.- Metodología ISO 27001 Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa en el ciclo de vida PDCA (Planear-Hacer-Verificar-Actuar; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.). De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio):  Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de influencia del

SGS considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas).  Política y objetivos de seguridad: documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información.  Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI. Documentación necesaria para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados -Métricas.  Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.  Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización.  Plan de tratamiento de riesgos: documento que identifica las acciones de la dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc.  Procedimientos documentados: todos los necesarios para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados.  Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI.  Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.

3.- ¿Qué es un SGSI? SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System. Se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o email, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. El propósito de un sistema de gestión de la seguridad de la información no es garantizar la seguridad (que nunca podrá ser absoluta) sino garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las tecnologías. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad, disponibilidad y legalidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos cuatro términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información: 

Integridad: Mantener la exactitud y completitud de la información y sus métodos de proceso.



Privacidad: La información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.



Legalidad: La información debe de cumplir con las leyes vigentes dependiendo del lugar donde se encuentran y son manejadas.



Disponibilidad: El acceso y la utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

Fig. F1 SGSI Principios básicos.

Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI. ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales. CONTROLES 

Un “Control” es lo que permite garantizar que cada aspecto, que se valoró con un cierto riesgo, queda cubierto y auditable.

Control abarca todo el conjunto de acciones, documentos, medidas a adoptar, procedimientos, medidas técnicas, etc.

Política de seguridad. - Política de seguridad (Nivel político o estratégico de la organización): Define las grandes líneas a seguir y el nivel de compromiso de la dirección con ellas. - Plan de Seguridad (Nivel de planeamiento o táctico): Define el “Cómo”. Es decir, baja a un nivel más de detalle, para dar inicio al conjunto de acciones o líneas rectoras que se deberán cumplir. Organización de la información de seguridad. - Organización Interna: Compromiso de la Dirección, coordinaciones, responsabilidades, autorizaciones, acuerdos de confidencialidad, contactos con

autoridades y grupos de interés en temas de seguridad, revisiones independientes. - Partes externas: Riesgos relacionados con terceros, gobierno de la seguridad respecto a clientes y socios de negocio. Administración de recursos - Responsabilidad en los recursos: Inventario y propietario de los recursos, empleo aceptable de los mismos. - Clasificación de la información: Guías de clasificación y Denominación, identificación y tratamiento de la información. Seguridad de los recursos humanos. - Antes del empleo: Responsabilidades y roles, verificaciones curriculares, términos y condiciones de empleo. - Durante el empleo: Administración de responsabilidades, preparación, educación y entrenamiento en seguridad de la información, medidas disciplinarias. - Finalización o cambio de empleo: Finalización de responsabilidades, devolución de recursos, revocación de derechos. Seguridad física y del entorno - Áreas de seguridad: Seguridad física y perimetral, control físico de entradas, seguridad de locales edificios y recursos, protección contra amenazas externas y del entorno, el trabajo en áreas e seguridad, accesos públicos, áreas de entrega y carga. - Seguridad de elementos: Ubicación y protección de equipos, elementos de soporte a los equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en el equipamiento fuera de la organización, seguridad en la redistribución o reutilización de equipamiento, borrado de información y/o software. 4.- ¿Cómo se implementa un SGSI? Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad. • Plan (planificar): establecer el SGSI. • Do (hacer): implementar y utilizar el SGSI. • Check (verificar): monitorizar y revisar el SGSI. • Act (actuar): mantener y mejorar el SGSI.

La ISO/IEC 27001:2005 está compuesta para ser adecuada a diferentes tipos de usos, incluidos, entre otros, los siguientes: 

Uso dentro de las organizaciones para formular requerimientos y objetivos de seguridad.



Uso dentro de las organizaciones como una forma de asegurar que los riesgos de seguridad están gestionados efectivamente.



Uso de las organizaciones para proveer a los clientes información relevante acerca de la seguridad de información.

Uso de parte de la gerencia de la organización para determinar el estado de las actividades de la administración de la seguridad de la información 5.- ¿QUIÉNES LA UTILIZAN? ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI). ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida. 6.- BENEFICIOS • Establecimiento de una metodología de gestión de la seguridad clara y estructurada. • Reducción del riesgo de pérdida, robo o corrupción de información. • Los clientes tienen acceso a la información a través medidas de seguridad. • Los riesgos y sus controles son continuamente revisados. • Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial. • Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar. • Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).

• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. • Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras. • Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. • Confianza y reglas claras para las personas de la organización. • Reducción de costes y mejora de los procesos y servicio. • Aumento de la motivación y satisfacción del personal. • Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.

7.- IMPLEMENTACIÓN La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido. En general, es recomendable la ayuda de consultores externos. El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).

REFERENCIAS ISO/IEC 27001 Seguridad de la información.(s.f.). Recuperado el 18/02/2010, de http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-degestion/estandares-esquemas/ISOIEC-27001 ISO/IEC 27001:2005.(s.f.). Recuperado el 18/02/2010, de http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm? csnumber=42103 La serie 27000.(s.f.). Recuperado el 18/02/2010, de http://www.iso27000.es/iso27000.html