1. Norma UNE-ISO/IEC 27001
En Sistemas de Seguridad de la Información
Ing. Guillermo Brand
Elaborado por: Mercedes Adalinda Turcios 20112006072
11/Junio/2017
2. Definición de un SGSI
Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001
es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial,
que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la
seguridad de la información.
La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluye tanto la
organización como las políticas, la planificación, las responsabilidades, las prácticas,
los procedimientos, los procesos y los recursos. Es decir, tanto la documentación de soporte
como las tareas que se realizan.
• Confidencialidad: sólo accederá a la información quien se encuentre autorizado.
• Integridad: la información será exacta y completa.
• Disponibilidad: los usuarios autorizados tendrán acceso a la información
cuando lo requieran.
3.
4.
5. Requisitos generales del sistema de gestión
de la seguridad
Sistema de gestión de la seguridad de la información.
Responsabilidad de la dirección.
Auditorias internas del SGSI.
Revisión del SGSI por la dirección.
Mejora del SGSI.
El sistema constara de una documentación en varios niveles.
Políticas, que proporcionan las guías
generales de actuación en cada caso.
Registros, que son las evidencias de que se
han llevado a cabo las actuaciones
establecidas.
Procedimientos, que dan las instrucciones
para ejecutar cada una de las tareas
previstas.
6. Establecimiento y Gestión del SGSI
Definición del alcance del SGSI: Procesos por los cuales se va a actuar y evaluar los
recursos que se pueden dedicar al proyecto y la dimensión correcta del proyecto para
alcanzar el éxito.
Política de Seguridad: Contendrá las directrices generales, la estrategia a seguir a la
de establecer objetivos y líneas de actuación.
Inventario de activos: Detallara los activos dentro del alcance del SGSI, así como los
propietarios y la valoración.
Análisis de riesgos: Se basan en la política de la organización sobre seguridad de la
información y el grado de seguridad requerido.
Las decisiones de la dirección: respecto a los riesgos identificados, así como la
de los riesgos residuales.
Documento de aplicabilidad: con la relación de los controles que son aplicables para
conseguir el nivel de riesgo residual aprobado por la dirección.
7. Metodología del análisis de riesgos: Los resultados deben ser comparables y
repetibles adaptándose a los modos de trabajo de la organización.
Tratamiento de los riesgos: Se deben mitigar (disminución) los riesgos mediante la
implementación de controles hasta un nivel aceptable.
Selección de controles: Especifica que los controles deben ser seleccionados de entre
los listados de la propia norma UNE-ISO/IEC 27002.
Gestión de Riesgos: Una vez seleccionados los controles que repetirá el análisis de
riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas.
Declaración de aplicabilidad: Debe incluir los objetivos de control y los controles
seleccionados con las razones de esta selección.
Implementación y puesta en marcha del SGSI: La dirección tiene que aprobar la
documentación desarrollada en las actividades detalladas y proveer los recursos
necesarios para ejecutar las actividades.
8. Control y revisión del SGSI: Controlar y revisar el SGSI de manera periódica para
garantizar la conveniencia, adecuación y eficacia continuas del sistema.
Mantenimiento y mejora del SGSI: Los cambios en la organización impactaran en los
niveles de riesgos y a la inversa, y tiene que haber mecanismos que acomoden estos
cambios y mantengan el nivel de seguridad en un nivel aceptable.
9. Requisitos de documentación
El SGSI debe contar con la documentación necesaria que
justifique las decisiones de la dirección, las políticas y las
acciones tomadas.
Por ello es necesario tener documentado:
• La política y los objetivos del SGSI.
• El alcance del SGSI.
• Una descripción de la metodología de análisis del riesgo.
• El inventario de activos.
• Los procedimientos y controles de apoyo al SGSI.
• El análisis del riesgo.
• El plan de tratamiento del riesgo.
• La declaración de aplicabilidad.
• Los procedimientos necesarios para la implementación de
los controles y
asegurarse de que se cumplan los objetivos.
• Los registros requeridos por la norma.
10. Control de documentos
Los documentos requeridos por el SGSI deben hallarse protegidos y controlados,
por lo que se precisan unos procedimientos de control de documentación, de
revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso,
permisos temporales, bajas, etc.).
Control de registros
Los registros son aquellos documentos que proporcionan evidencia
de la realización de actividades del SGSI. Con ellos se puede verificar
el cumplimiento de los requisitos. Ejemplo de Registros son el libro de
visitas, los informes de auditorías y los de los sistemas.
Compromiso de la dirección
Establecer la política del SGSI y asegurar que se establezcan los objetivos y
planes del SGSI. Así como asignar los roles y las responsabilidades para la
seguridad de la información.
11. Gestión de los recursos
La dirección es la que gestiona los recursos, provee recursos al desarrollo y mantenimiento
SGSI en función de lo que se estime necesario para establecer, implementar, poner en
funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI.
Formación
La norma exige que todos los trabajadores con responsabilidades definidas en el
SGSI sean competentes para efectuar las actividades necesarias.
Esto significa que hay que definir las competencias necesarias y, en función
de tales necesidades (por ejemplo, la contratación de personal competente).
Auditorias Internas
Una de las herramientas más interesantes para controlar el funcionamiento del
SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse
regularmente, normalmente una vez al año. Debe existir un procedimiento
documentado que defina las responsabilidades y los requisitos para planificar
y dirigir las auditorias, para informar de los resultados y para mantener los registros.
12. Revisión por la dirección
La dirección debe revisar el SGSI de manera periódica para garantizar la
adecuación y eficacia continuas del sistema.
Para realizar esta revisión hay que recopilar información de los resultados
de las distintas actividades del SGSI para comprobar si se están alcanzando
los objetivos, y si no es así, averiguar las causas y decidir sobre las posibles
soluciones.
Entradas a la Revisión
Los resultados de la revisión deben ser documentados para proporcionar
evidencia de su realización, involucrar a la dirección en la gestión del
sistema y apoyar las acciones de mejora.
13. Salida de la Revisión
La revisión, aunque se centre en la detección y resolución de problemas en la
gestión y operativa del SGSI, debe considerar también los puntos fuertes, es
decir, qué se está haciendo bien y la razón, sobre todo en comparación con
revisiones anteriores, de manera que se ponga en evidencia la mejora
del sistema.
Mejora Continua
La mejora continua es una actividad recurrente para incrementar la
capacidad a la hora de cumplir los requisitos. El proceso mediante el cual
se establecen objetivos y se identifican oportunidades de mejora es continuo.
Acción Correctiva
La acción correctiva se define como la tarea que se emprende para corregir
una no conformidad significativa con cualquiera de los requisitos del sistema
de gestión de seguridad de la información.
14. Acción Preventiva
Las acciones preventivas se aplican para evitar la aparición de futuras no
conformidades. Son acciones encaminadas a eliminar la causa de una posible no
conformidad.
En una acción preventiva se determina la posible fuente de problemas
con el objeto de eliminarla. Se pretende con ello evitar tener que
solucionar problemas, puesto que es más eficaz y sencillo prevenirlos
que solucionarlos.
Pueden utilizarse como fuentes de información para el establecimiento
de acciones preventivas:
• Los resultados de la revisión por la dirección.
• Los resultados de los análisis de incidencias y objetivos.
• Los registros.
• El personal.