• Author / Uploaded
• Stefy Molineros

Citation preview

Universidad Católica Boliviana “San Pablo” Facultad de Ciencias Exactas e Ingeniería Ingeniería de Sistemas

NORMA ISO/IEC 27001 AUDITORÍA DE SISTEMAS Nombre: Claudia Grandi Bustillos Docente: Indira Guzmán de Gálvez Semestre II - 2009 LA PAZ – BOLIVIA

NORMA ISO/IEC 27001 Introducción La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. En este apartado se resumen las características del estándar ISO/IEC 27001 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001.

Marco Teórico El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en Octubre de 2005 por International Organization for Standardization (ISO) y por la comisión International Electrotechnical Commission (IEC).

Generalidades Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming1” con sus iniciales PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).

Evolución España En el año 2004 se publicó la UNE 71502 titulada Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) y que fue elaborada por el comité técnico AEN/CTN 71. Es una adaptación nacional de la norma británica British Standard BS 7799-2:2002.

1

Es una estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado por Walter A. Shewhart. También se denomina espiral de mejora continua. Es muy utilizado por los SGSI.

Con la publicación de UNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta última están pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.

Implantación La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información ( en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías, protección de datos (que hayan realizado un máster o curso de especialización en la materia) y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).

Certificación La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2. Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada. El Anexo C de la norma muestra las correspondencias del Sistema de Gestión de la Seguridad de la Información (SGSI) con el Sistema de Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una organización en varias normas y en base a un sistema de gestión común.

La Serie 2700 La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:  ISO 27000: Actualmente en fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000.

 UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Fecha de la de la versión española 29 Noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSIs deberán ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799).  ISO 27002: (anteriormente denominada ISO17799).Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.  ISO 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.  ISO 27004: En fase de desarrollo; probable publicación en 2009. Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.  ISO 27005: Publicada en Junio de 2008. Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Incluye partes de la ISO 13335.  ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.

Beneficios El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización:  Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.  Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.  Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.  Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.  Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.  El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora. Establecimiento de una metodología de gestión de la seguridad clara y estructurada.  Reducción del riesgo de pérdida, robo o corrupción de información.  Los clientes tienen acceso a la información a través medidas de seguridad.  Los riesgos y sus controles son continuamente revisados.  Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.

 Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.  Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).  Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.  Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.  Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.  Confianza y reglas claras para las personas de la organización.  Reducción de costes y mejora de los procesos y servicio.  Aumento de la motivación y satisfacción del personal.  Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.

Comparación con la exposición previa sobre ISO 17799 La norma certificable ISO 27001 publicada en 2005 contiene las especificaciones necesarias para implantar y mantener de forma efectiva un Sistema de Gestión de Seguridad de la Información (SGSI) en cualquier organización o en un ámbito reducido de ella. La norma no certificable ISO 17799, actualizada en 2005 y publicada por primera vez en el año 2000, constituye un código de buenas prácticas de seguridad de la información que ha sido voluntariamente adoptado ya por más de 80000 empresas de todo el mundo.  ISO 17799 es un conjunto de buenas prácticas en seguridad de la información contiene 133 controles aplicables.  La ISO 17799 no es certificable, ni fue diseñada para esto.  La norma que si es certificable es ISO 27001 como también lo fue su antecesora BS 7799-2.  ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 17799 para su posible aplicación en el SGSI que implanta cada organización  ISO 17799 es para ISO 27001, por tanto, una relación de controles necesarios para garantizar la seguridad de la información.  ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener, evaluar un sistema de seguridad informática explícitamente. ISO 27001 permite auditar un sistema a bajo lineamiento ISO 17799 para certificar ISMS (Information Security Management System).

Ejemplos del estándar. ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI). ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida. Como mencionamos previamente esta norma puede ser aplicada en cualquier tipo de organización, un ejemplo claro vendría a ser en un Banco. Un banco maneja muchos tipos de información cada uno de estos tipos son importantes para los clientes y para la organización en sí.

Para mantener esta información segura se podría aplicar la norma 27001 dentro de la institución, de esta manera se podría realizar un mejor control de toda la información y del sistema que la administra. Se lograría a un largo plazo reducir del riesgo de pérdida, robo o corrupción de información y sobretodo se lograría ganar la confianza de los clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial que brindaría el banco.

Conclusiones La implantación de la norma ISO27001 permite definir y mantener un Sistema de Gestión de la Seguridad de la Información (ISMS) documentado, que orienta los esfuerzos de protección de los activos de información, facilita la administración de los riesgos priorizando los controles necesarios de aplicar y mantiene un nivel de seguridad adecuado para la continuidad de la organización.

Bibliografía  http://www.slideshare.net/DEATHWOMAN/norma-iso-27001  http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/estandaresesquemas/ISOIEC-27001/?sb=1  G:\ISO 27001 - Sistema de Gestión de Seguridad de la Información - SGSI - ISO 27000 - ISO 27002 - ISO 17799.mht  http://es.wikipedia.org/wiki/ISO/IEC_27001  http://sgsi-iso27001.blogspot.com/  http://www.ibnorca.org/ibnorcadia/doc_bol/Normas_aprob_2005.pdf  http://www.iso27000.es/doc_faq_all.htm